los servicios de geolocalización y el derecho a la ... · lssi ley de servicios de la sociedad ......
TRANSCRIPT
TRABAJO FIN DE GRADO
GRADO EN DERECHO
Departamento de Derecho Privado
Derecho civil
Curso 2014/2015
0
Los servicios de geolocalización y el
derecho a la protección de datos personales
Isabel Fernández del Campo Aguiló
Dirigido por Alfredo Batuecas Caletrío
Junio de 2015
TRABAJO FIN DE GRADO
GRADO EN DERECHO
Derecho Privado
Derecho Civil
Los servicios de geolocalización y el
derecho a la protección de datos
personales
Geolocation services and the right to
personal data protection
Nombre del/la estudiante: Isabel Fernández del Campo Aguiló
e-mail del/a estudiante: [email protected]
Tutor/a: Alfredo Batuecas Caletrío
RESUMEN (15 líneas)
La ubicación juega un papel importante en nuestra sociedad al presentar
prácticamente la totalidad de las actividades un componente geográfico y en general,
aumentar el valor de la información cuando esta se puede emplazar en un mapa. Hoy
día asistimos al cada vez más frecuente uso de servicios de geolocalización disponibles
en los dispositivos móviles, como smartphones y tablets. En orden a este novedoso
aumento de la circulación de estos datos, se tutela el derecho de los individuos a excluir
a terceros del riesgo existente frente a injerencias, junto a la facultad de control de sus
datos desde la normativa europea y española de protección de datos personales, la cual
ampara los supuestos de geolocalización por permitir estos la identificabilidad de los
titulares de los datos. A su vez, para la recogida, tratamiento y cesión de los datos de
geolocalización se exige que el consentimiento se haya manifestado de forma libre,
inequívoca, específica, e informada. Se exponen los requisitos casuísticos del supuesto
de los empleadores que utilizan los dispositivos de geolocalización para controlar los
medios del trabajo (principalmente vehículos), descartándose en la mayor parte los
casos no informados; y se ofrece una exposición de las particularidades cuando el que
utiliza estos dispositivos se trata de un menor de edad. Para concluir, se aborda el tema
de la responsabilidad en caso de tratamientos indebidos o deficientes por parte del
responsable del tratamiento: quién responde, ante quién se ejercen los derechos ARCO,
la protección ofrecida tanto por la AEPD como la Administración de Justicia; y una
breve exposición sobre el sistema de infracciones y sanciones de la LOPD en caso de
incumplimiento de los deberes de esta.
PALABRAS CLAVE (entre 3 y 6):
Geolocalización, GPS, aplicaciones móviles, teléfono inteligente, responsabilidad,
datos personales
ABSTRACT
As the broadest range of the human decisions and activities has a geographical
component, geolocation data play a major role in our society. Normally, the value of
information increases when it is connected to a location. We are currently witnessing
the increasingly frequent use of geolocation technology available on smart mobile
devices like phones and tablets. European and Spanish authorities have adopted
legislation on personal data protection to protect the power to control their data and
together with the right of individuals to exclude others of the risk from accessing,
protection in which geotracking is also sheltered as it allows the identifiability of the
data subjects. For the collection, processing and transfer of geolocation data the consent
must be expressed in a freely given, unequivocally; specifically, and informed way.
The Constitutional Court (TC) and the Spanish Data Protection Agency (AEPD) have
set casuistical requirements for the employers that apply geolocation devices to control
the means of labor (mainly vehicles) and employees: instead of seeking consent,
employers must investigate whether it is demonstrably necessary to supervise the exact
whereabouts of employees for a legitimate purpose and ponder that need against the
fundamental rights and freedoms of the personnel. This project seeks as well to provide
an explanation of the particularities for the case in which the one using these devices is
a minor, where in case of being under 14, children's consent must be provided by their
parents or other legal representatives. To conclude we address the issue on what
obligations arise from data protection laws on the topic of responsibility in case of
poor or unauthorized data treatment by the controller: who is responsible, whom the
Access, Rectification, Opposition and Cancellation (ARCO) rights are exercised
against, what actions or appeals can be brought to the AEPD and the Administration of
Justice; and a brief statement on the system of offenses and penalties of the Data
Protection Act (LOPD) in case of breach of its duties.
KEYWORDS:
Geolocation, GPS, geotracking, mobile apps, smartphone, responsibility, personal data
ÍNDICE
ABREVIATURAS ...................................................................................................... iii
Introducción ................................................................................................................. 1
1.REGULACIÓN DE LA PROTECCIÓN DE DATOS ............................................. 6
1.1 Derecho a la intimidad personal y familiar y el derecho a la protección de datos
personales: recíproca delimitación ................................................................................ 8
1.2 Datos protegidos ................................................................................................. 11
1.3 Principios de la protección de datos ................................................................... 14
2. EL PRINCIPIO DEL CONSENTIMIENTO ......................................................... 18
2.1 Requisitos ........................................................................................................... 19
2.1.1 Libre ............................................................................................................. 19
2.1.2 Inequívoco .................................................................................................... 20
2.1.3 Específico ..................................................................................................... 21
2.1.4 Informado ..................................................................................................... 23
2.1.5 Previo ............................................................................................................ 23
2.2 Casos especiales ................................................................................................. 23
2.2.1 Trabajadores .................................................................................................. 23
2.2.2 Menores ......................................................................................................... 30
3. RÉGIMEN DE RESPONSABILIDAD ................................................................. 32
3.1 Normativa .......................................................................................................... 32
3.2 Sujetos que participan en el tratamiento de datos.............................................. 35
3.2.1 Fabricantes del dispositivo y titulares de la aplicación. Especial inciso
respecto a los operadores de red .............................................................................. 35
3.2.2 Los creadores de sistemas operativos para los dispositivos móviles
inteligentes o de dispositivos específicos de geolocalización ................................. 37
3.3 Derechos ARCO y la protección de la AEPD y la Administración de Justicia 38
3.4 El sistema de sanciones de la LOPD y su desarrollo reglamentario .................. 40
CONCLUSIONES ..................................................................................................... 42
RESEÑA BIBLIOGRÁFICA .................................................................................... 46
iii
ABREVIATURAS
AEPD Agencia Española de Protección de Datos
ARCO Derechos de Acceso, Rectificación, Cancelación y Oposición
BOE Boletín Oficial del Estado
CE Constitución española
CDFUE Carta de Derechos Fundamentales de la Unión Europea
DOUE Diario Oficial de la Unión Europea
ENISA Agencia Europea de Seguridad de las Redes y de la Información
ET Estatuto de los Trabajadores
GPS Global Positioning System
LOPD Ley Orgánica de Protección de datos
LORTAD Ley Orgánica de Regulación del Tratamiento Automatizado de los
Datos de Carácter Personal
LSSI Ley de Servicios de la Sociedad de la Información y Comercio
Electrónico
RLOPD Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de protección de datos de carácter personal
STC Sentencia del Tribunal Constitucional
STS Sentencia del Tribunal Supremo
TC Tribunal Constitucional
TS Tribunal Supremo
TEDH Tribunal Europeo de Derechos Humanos
TFUE Tratado de Funcionamiento de la Unión Europea
TUE Tratado de la Unión Europea
UDID Unique Device Identifier
1
Introducción
La geolocalización es una tecnología asociada a un tratamiento de datos personales
cuyo principal objetivo es conocer el emplazamiento de forma más o menos precisa de
un individuo. Esta técnica parecía haber quedado fuera de la cuestión de la protección de
datos personales, puesto que hasta hace poco tiempo su uso se ha visto limitado, por
ejemplo, a los navegadores de los automóviles, donde se implantaban meros receptores
de señales Global Positioning System (en adelante, GPS), no suponiendo amenazas
respecto a potenciales usos inadecuados de estos datos.
No obstante, en las dos últimas décadas estamos asistiendo a un aumento del uso de
los datos de localización. El abanico de posibilidades es amplio: existen aplicaciones que,
gracias a esta información, logran convertir las ciudades de los usuarios en tableros
virtuales donde se disputan competiciones de acertijos en línea; otras así recuerdan a su
clientela dónde ha aparcado el coche o incluso ayudan a hallar los dispositivos en caso de
pérdida o robo; mientras que, de esta manera, un gran surtido pone en contacto a personas
del entorno con intereses comunes.
Dos factores han contribuido a este fenómeno: el primero es el aumento exponencial
en el uso de estos datos vía satélite, de carácter preciso y valioso, tanto por la cantidad de
información personal que se puede extraer de su análisis como por sus ventajas para todo
tipo de situaciones, como puede ser la asistencia a personas en una situación de riesgo. El
segundo elemento ha sido la difusión sin precedentes de la telefonía móvil. Piénsese, a
este respecto que hoy día, cada usuario lleva consigo un dispositivo, ya sea un teléfono
móvil o una tablet, donde no solo proyecta multitud de factores que permiten reconocer
su individualidad (lista de contactos, fotografías, gustos, agenda…)1, sino que, además,
este permite su localización exacta en exteriores e interiores dada constante distancia
mínima de su propietario2. La localización ofrecida será siempre, con frecuencia, la del
1 Vid. GUDÍN RODRÍGUEZ-MAGARIÑOS, F. (2014). Requiem por el derecho a la intimidad en los
smartphone: análisis de la última Jurisprudencia del TC contrastada con la del TEDH. Revista Aranzadi
Doctrinal (9). Página: 4 2 Las revistas para inversores profesionales como Forbes aconsejan la presencia publicitaria en los
smartphones y el uso de los datos de geocalización emitidos por estos en base a estadísticas como la de
MORGAN STANLEY, según el cual 91% de los usuarios americanos siempre tienen el smartphone a una
distancia que les permite cogerlo con solo estirar el brazo. Fuente:
http://www.forbes.com/sites/cherylsnappconner/2013/11/12/fifty-essential-mobile-marketing-facts/
Última consulta: 20/06/2015
2
mismo individuo dada la infrecuencia del préstamo de estos dispositivos, en vista a la
citada cantidad de información íntima volcada en los mismos.
El problema reside en que toda la información recogida y almacenada en los
dispositivos es susceptible de ser transmitida3 y tratada. El responsable del tratamiento de
los datos trasferidos desde estos novedosos terminales dispone de una panorámica de las
distintas vicisitudes personales de sus titulares, hallándose en la posición idónea para
elaborar de forma sencilla y automática perfiles de estos. Cuando se trata de datos de
localización las probabilidades aumentan, ya que la ubicación de un individuo en cada
momento supone, plausiblemente, la información más valiosa predicable de una persona
por facilitar una mayor comprensión de su estilo de vida que la que proporcionan otros
datos. Baste como muestra que la ideología y religión de una persona se revelan o se
insinúan, por inferencia, cuando se analiza su frecuente presencia física en mítines de
partidos políticos o lugares de culto. Es por ello que una determinación precisa de la
geoposición de los individuos supone un atractivo ingente para las empresas y servicios
públicos.
Así, estos datos explican las ofertas personalizadas que llegan a nuestros teléfonos
sobre los negocios próximos a los que nos encontramos; algunas estrategias de empresa
han visto la luz gracias a los datos emitidos por Bluetooth, que indican en qué puntos de
sus almacenes se detiene más la clientela y las rutas que sigue; y también basan los
controles de acceso y movilidad en ambientes requirentes de grandes niveles de seguridad
como hospitales. Algunos de estos no tienen un gran impacto en nuestro día a día y
simplemente se ignoran; otros son considerados como ventajas, como los servicios
climatológicos que detectan la ciudad en la que nos encontramos para ofrecernos
información sobre el tiempo que hace en ella; o los mapas que nos ayudan a dar con la
dirección que buscamos en cuestión de segundos desde nuestra ubicación; los portales de
citas online que ponen en contacto a personas que se encuentran cerca; o el geoetiquetado
3 Los teléfonos móviles emiten esta información por tres vías, a saberse: las estaciones de base (durante
todo el tiempo en que un dispositivo móvil se encuentre encendido este permanecerá en conexión constante
con una determinada estación de base y el operador de telecomunicaciones lleva un registro continuo de
estas conexiones); la tecnología GPS (información que solo viaja en un sentido, de modo que los gestores
de los satélites no establecer un registro de los dispositivos que han recibido su señal la radioeléctrica a no
ser que se combine con los métodos Wi-Fi y de estaciones de base); y el Wi-Fi (que si realiza el barrido sin
aplicar un diseño que proteja la intimidad puede derivar en la obtención de datos intercambiados entre los
puntos de acceso y los aparatos a estos conectados).
3
que permite compartir con nuestras amistades qué escenario de ensueño hemos elegido
para nuestras vacaciones.
Los avances tecnológicos en la telefonía y las comunicaciones coadyuvan, empero,
también a la consecución de otros fines indeseados, cuando no delictivos. Dada la
cantidad de información que encubre esta clase de datos, se recomienda una máxima
prudencia incluso cuando sí se otorga permiso para el tratamiento o acceso de los datos,
dado que cuando estos son ilimitados y generales, como los que se producen hoy en día
(muchas veces por desconocimiento y despreocupación de lo que se acepta, como cuando
se acepta ignorando los Términos y condiciones de las aplicaciones que se instalan), se
abre la puerta a riesgos que ya suponen conductas tipificadas por el orden penal, como la
sustracción de datos, los robos en domicilios, agresiones físicas, el fenómeno del child-
grooming y el acoso, entre otros. A su vez, el avance de los conocimientos de informática
por parte no solo del Estado y las grandes empresas, en conjunción con la potencial
(aunque ilícita) disponibilidad de estos datos en la red, incrementa la posibilidad de que
estos datos lleguen a manos indeseadas por medio del hack. Aun cuando el usuario crea
que tiene control sobre sus datos algunos virus o programas hoy permiten tener acceso a
los datos de localización de un individuo con el simple hecho de que este acceda a un
portal web o se visualicen automáticamente las imágenes de un correo electrónico. El
archivo de los perfiles de las redes sociales puede ayudar enormemente para la creación
de bases de datos de personas con fines ilícitos. Parece desalentador que el estado de las
cosas haga parecer que la única alternativa para que esta clase de datos no se guarde y
emita sea, bien apagar el teléfono, bien utilizarlo en modo avión, a riesgo de no poder
recibir llamadas4.
Obviamente, entra dentro de la libertad de decisión de cada individuo decidir si
prefiere dejar funcionar a los servicios de geolocalización por todas las ventajas que le
suponen o si considera más adecuado pasar desapercibido, disponiendo para ello de
métodos sencillos para la desactivación de dichos sistemas. Lo importante será que cada
4 Por ejemplo, es bien sabido que las fotografías digitales cada vez más a menudo incrustan archivos
(denominados meta-información)de manera automática, los archivos .EXIF, los cuales pueden contener
mucha información, como la fecha, hora y cámara con la que fue tomada. Los smartphones y últimos
modelos de cámaras pueden incorporar a estos datos las coordenadas de GPS del lugar donde fueron
tomadas.
4
usuario pueda elegir cuánto quiere dar a conocer de sí mismo, siendo consciente de que
cuanta más presencia tenga en la red y más datos se aporten, más limitará su privacidad.
Se recomienda ante todo la lectura de los contratos de las aplicaciones móviles con vistas
a conocer cuál será el tratamiento de los datos que se comparten; habilitar la
geolocalización en caso de que los beneficios superen a los riesgos; y ser conscientes de
que con estas operaciones los terceros podrán realizar un seguimiento de nuestra
localización actual, pasada, e incluso podrán predecir la futura. Los peligros de la
geoposición no provienen tanto de los datos específicos de un momento determinado de
una persona, sino que la interpretación sistemática de estos datos posibilita el dibujo de
tendencias que predicen movimientos y comportamientos, atentando así contra la
intimidad de las personas.
En vista de los innumerables riesgos que entraña el procesamiento de esta clase de
información, se ha desarrollado normativa en los distintos ámbitos (regional, estatal) con
la finalidad de garantizar la protección de los datos personales en general, no solo los de
localización. Durante décadas dicha salvaguarda se había encontrado adecuadamente
protegida en las legislaciones modernas mediante el derecho a la intimidad, empero, al
surgir la informática y con ella la posibilidad de realizar tratamientos automatizados de
información y su transmisión por medios telemáticos, surge una nueva relación entre
personas y datos que precisarán niveles de protección superiores a los ofrecidos por las
normas tocantes a la intimidad; lo que en los ordenamientos de ámbito anglosajón se ha
dado en llamar "privacy".
En vista de la imperante necesidad de la protección de esta cada vez más frecuente
clase de datos, en el primero de los capítulos de este trabajo se brinda una exposición de
la evolución de la normativa española en materia de protección de datos personales en
general, cubriendo la inspiración comunitaria, del Consejo de Europa y del mandato
constitucional, desarrollados y reflejados legal y reglamentariamente en la actualidad. La
aplicación de esta normativa al caso de los datos de geolocalización permite delimitar el
grado de protección que estos merecen.
Seguidamente, se busca exponer las condiciones que debe reunir el consentimiento del
interesado para el tratamiento de sus datos de localización, el eje central de la protección
de datos personales y de este trabajo. Se abordan los requisitos que debe reunir la anuencia
recabada del titular en la recogida y tratamiento de los datos pues, por norma general,
5
cualquier tratamiento de estos datos sin esta, devendrá ilícito. Resulta también de interés
proceder a un análisis de supuestos especiales, en los que por razón de los sujetos que
intervienen, el consentimiento se verá sometido a particularidades. Los casos especiales
seleccionados son los del uso de dispositivos de geolocalización por menores de edad y
para la vigilancia sobre los empleados.
Para concluir, dado que no se entiende una regulación protectora sin mecanismos de
reacción a los incumplimientos, en el tercer capítulo se ofrece una exposición de las
implicaciones legales del tratamiento de los datos por parte de los responsables al efecto.
Resultan de especial interés la identificación concreta de las partes implicadas en el
tratamiento de datos; los deberes de estas en relación con la obtención del consentimiento,
la recogida de los datos, su procesamiento y cesión; y el sistema de infracciones y
sanciones de la Ley Orgánica de Protección de Datos personales.
6
1. REGULACIÓN DE LA PROTECCIÓN DE DATOS
Los datos de localización se consideran, por las razones que se expondrán más
adelante, personales. No cabe entender la protección que merecen los datos de
localización en el sistema vigente de protección de datos sin un análisis de la regulación
que nuestro ordenamiento jurídico contiene sobre esta materia. En el ámbito nacional de
momento la normativa se ciñe a la Ley 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal5 (LOPD, en adelante) y al Real Decreto 1720/2007, de 21 de
diciembre, que aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de
Datos (en adelante, RLOPD)6.
Estas normas no son capricho del legislador, sino que son consecuencia del mandato
que los constituyentes plasmaron en el artículo 18.4 de la Constitución Española (en
adelante, CE). La carta fundamental establece en este precepto que “la ley limitará el uso
de la informática para garantizar el honor y la intimidad personal y familiar de los
ciudadanos y el pleno ejercicio de sus derechos”. El referido precepto no ha estado exento
de polémica: tanto la jurisprudencia como la doctrina han discutido la naturaleza jurídica
de este mandato al legislador durante más de dos décadas, como expondremos en el
epígrafe inmediatamente siguiente.
Pese a la falta técnica jurídica del precepto7, con el tiempo se ha llegado a precisar que
lo que este artículo recoge es la libertad informática en sus vertientes negativa y positiva:
en la primera lo que se establece es una facultad para excluir a terceros de posibles
injerencias sobre sus datos personales; mientras que la positiva consiste en la facultad de
los titulares para controlar sus datos personales cuando se tratan a través de técnicas
informáticas automatizadas. Los datos de geolocalización entran en este ámbito y por
tanto el estudio de estas facultades no nos será ajeno.
En el ámbito comunitario también se ha recorrido una senda tendente al
reconocimiento de esta libertad, hasta el punto de alcanzar cotas de protección del nivel
de su consagración en la Carta de Derechos Fundamentales de la Unión Europea
5 BOE núm. 298, de 14 de diciembre de 1999. 6 BOE núm. 17, de 19 de enero de 2008. 7 Algunos autores ya consideran que para lograr una garantía frente a los abusos informáticos más allá
del honor y la intimidad hubiera resultado mucho más efectivo haber dedicado un artículo por entero Vid.
PÉREZ LUÑO, A.E. "Informática y libertad. Comentario al artículo 18.4 de la Constitución", REP, 1981.
Páginas 44-45, donde el autor indica: "Como apéndice del artículo 18 se puedan llegar a opciones
hermenéuticas que dificulten la extensión de su tutela a los demás derechos y libertades fundamentales"
7
(CDFUE, en adelante)8 en su artículo 8; además de su implantación en el articulado de la
non nata constitución Europea con la fórmula recogida en el artículo II-689. No obstante,
mayor interés en nuestro estudio cobra la larga cadena de directivas elaboradas sobre este
tema, ya que iluminan la normativa estatal española. Aquí observamos la Directiva
95/46/CE del Parlamento Europeo y del Consejo, de 24 de julio de 1995, relativaa la
protección de las personas físicas en lo que respecta al tratamiento de datos personales y
a la libre circulación de estosdatos10, la norma comunitaria que ve su trasposición en la
LOPD.Son también de relevancia en este ámbito la Directiva 97/66/CE del Parlamento
Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los
datospersonales y a la protección de la intimidad en el sector de las telecomunicaciones11,
la Directiva 2002/58/CE del Parlamento Europeoy del Consejo, de 12 de julio de 2002
relativa al tratamiento de los datos personales y a la protección de la intimidad en elsector
de las comunicaciones electrónicas o directiva sobre la privacidad y las comunicaciones
electrónicas12 y la Directiva 2006/24/CE sobre conservación de datos generados o
tratados en relación con la prestación de servicios de comunicaciones electrónicasde
acceso público o de redes públicas de comunicaciones.13 Aún se espera, ya de aplicación
directa, obligatorio en todos sus elementos y efecto general, la aprobación del Reglamento
del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en
lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos,
también conocido como Reglamento general de protección de datos.
A estos niveles de madurez presentes del sistema de protección de datos en Europa no
se ha llegado únicamente gracias a los pasos dados en sede comunitaria. Un examen del
8 En relación con el artículo 6.1 del Tratado de Lisboa por el que se modifican el Tratado de la Unión
Europea y el Tratado constitutivo de la Comunidad Europea., que vuelve vinculante la CDFUE para las
instituciones y para los Estados cuando aplican derecho comunitario, siendo esta derecho originario aunque
no esté dentro de los tratados. Algunas de las exigencias más latentes en esta materia se recogen en el acervo
Schengen o el artículo K.3 del convenio Europol. 9 Tratado por el que se establece una Constitución para Europa, firmado en Roma el 29 de octubre de
2004, publicado en el DOE el 16 de diciembre de 2004 (DO C 310). En el artículo citado se establecía, en
su tenor literal: “1. Toda persona tiene derecho a la protección de los datos de carácter personal que le
conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento
de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene
derecho a acceder a los datos recogidos que la conciernan y a obtener su rectificación. 3. El respeto de estas
normas estará sujeto al control de una autoridad independiente”. 10 DOUE núm. 281, de 23 de noviembre de 1995, páginas 31 a 50. 11 DOUE núm. 201, de 31 de julio de 2002, páginas 37 a 47. 12 DOUE núm. 173, de 26 de junio de 2013, páginas 2 a 8. 13 DOUE núm. 105, de 13 de abril de 2006, páginas 54 a 63.
8
trabajo llevado a cabo tanto por el Consejo de Europa desde fecha temprana14, como por
la Organización para la Cooperación y Desarrollo Económicos, revela que una fusión de
la búsqueda de protección de este derecho fundamental y por otro lado, de la voluntad de
facilitar el comercio mundial sin sacrificar los derechos de los individuos, fueron el origen
de que en esta región se hayan conseguido unas medidas similares de garantía.
1.1 Derecho a la intimidad personal y familiar y el derecho a la protección de
datos personales: recíproca delimitación
Un estudio de la protección de datos del artículo 18.4 exige antes tener clara su
distinción respecto al derecho a la intimidad del artículo 18.1 CE. El Tribunal
Constitucional (en adelante, TC) se ha encargado de aclarar en la sentencia 254/1993, de
20 de julio15, que el habeas data o “libertad informática” es un derecho fundamental y
con autonomía del derecho a la intimidad familiar y personal, aunque de forma un tanto
incoherente16; hecho esto, será la sentencia del TC (en adelante STC) 292/2000 de 30 de
noviembre17, fundamentalmente en su FJ 5º, la que ha fijado de qué hablamos cuando se
alude a la protección de datos personales.
Los debates parlamentarios previos a la aprobación de este artículo18 fueron vivos en
polémica, según sostiene GUERRERO PICÓ19. SANCHO ROF en representación del
Grupo Unión de Centro Democrático, consideraba esta mención innecesaria por
14 Cfr. Resolución (68) 509, de 31 de enero de 1968 (previa a nuestra CE y su artículo 18.4), sobre los
derechos humanos y nuevos logros científicos, donde se anuncia que un uso ilegítimo de los medios para
obtener informaciones privadas vulnera el derecho del artículo 8.1 CEDH. Para autores como DAVARA
RODRÍGUEZeste es el germen legislativo de lo que más tarde se conocería como protección de datos de
carácter personal. Vid. DAVARA RODRÍGUEZ, M. (1998). Manual de protección de datos. Madrid:
SEFP. Página: 19.
No tardaron en promulgarse en Alemania y Suecia las primeras leyes de protección de datos en los
ordenamientos internos tras los esfuerzos del Comité de Ministros. Para mayor garantía se dictaron las
Resoluciones 22, de 26 de septiembre de 1973 y 29, de 20 de septiembre de 1974; y el Convenio número
108 para la protección de las personas con respecto al tratamiento automatizado de los datos de carácter
personal de 28 de enero de 1981. A su vez, en su seno se han elaborado innumerables recomendaciones en
los más variados sectores relacionados con la materia. 15 Cfr. BOE núm. 197, de 18 agosto 1993. 16 Resulta cuanto menos desconcertante que para reafirmar su autonomía se aluda su carácter de instituto
de garantía especialmente del derecho del que se “separa” en lugar de afirmar directamente que la
protección que la libertad informática ofrece redunda a favor de todos los derechos. Cfr. FJ 6 «… estamos
ante un instituto de garantía de otros derechos, fundamentalmente el honor y la intimidad, pero también de
un instituto que es, en sí mismo, un derecho o libertad fundamental, el derecho a la libertad frente a las
potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del
tratamiento mecanizado de datos, lo que la Constitución llama “la informática”» 17 Cfr. BOE núm. 4, de 4 de enero de 2001. 18 Cfr. BOCD, Comisión de Asuntos Constitucionales y libertades públicas, nº 70 de 19 de mayo de
1978, p. 1516 y 1527. 19 Vid. GUERRERO PICÓ, M. d. (2006). “El Impacto de Internet en el Derecho Fundamental a la
Protección de Datos de Carácter Personal”. Cizur Menor: Aranzadi SA. Página: 123
9
considerarse garantía de solo una de las posibles formas de actuación que vulnerasen el
derecho a la intimidad personal y familiar (como por ejemplo, las provenientes de la
biotecnología como la manipulación genética o la clonación); mientras que otros como
GASTÓN SANZ, en nombre del Grupo Mixto, propusieron una enmienda para explicar
mejor el mandato legislativo: “La ley regulará el acopio, uso y difusión de los datos de
carácter personal contenidos en los archivos o registros, susceptibles de acceso
automático, con objeto de garantizar las libertades públicas y el ordenamiento
constitucional”. Al retirarse estas enmiendas esta garantía concreta se materializó. En este
artículo la CE se adelantó a la realidad del momento, previendo que el desarrollo
tecnológico podría acabar por facilitar el control de los ciudadanos al más puro estilo de
1984, siendo preciso entonces que el Ordenamiento jurídico esté preparado,
especialmente para evitar su injerencia en los derechos fundamentales.20
El TC, en su sentencia 292/2000, declara que el derecho fundamental a la intimidad
no aporta por sí mismo protección suficiente frente a los retos del progreso tecnológico y
que “el derecho fundamental a la protección de datos (del artículo 18.4 CE) consiste en
un poder de disposición y de control sobre los datos personales que faculta a la persona
para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular,
o cuáles puede ese tercero recabar, y que también permite al individuo saber quién posee
esos datos personales y para qué, pudiendo oponerse a esa posesión o uso”. En orden a
ello, ÁLVAREZ CIENFUEGOS SUÁREZ apunta certeramente que para el Tribunal
Constitucional la garantía de la vida privada de la persona y de su reputación poseen una
dimensión positiva que exceden del ámbito propio del derecho fundamental a la
intimidad, en los términos que se reconoce en el artículo 18.1 de la Constitución. Este
nuevo derecho fundamental atribuye a la persona un derecho de control sobre los datos
relativos a la propia persona, que se extiende en virtud de la llamada “libertad
informática” a controlar el uso de esos mismos datos insertos en un programa informático,
incluyendo, también, en ciertos casos, el derecho del ciudadano afectado a oponerse a que
determinados datos personales sean utilizados para fines distintos de aquel legítimo que
20 De acuerdo a la visión de PÉREZ-LUÑO la protección de datos es uno de los cánones básicos de la
legitimación política en un sistema democrático tecnológicamente desarrollado, ya que en su ausencia no
es posible la garantía de la libertad ni de la igualdad de la ciudadanía. Vid. PÉREZ-LUÑO, A. E. (1979).
La protección de la intimidad frente a la informática en la Constitución Española de 1978, en REP, nº 24.
Páginas: 138-139.
10
justificó su obtención21. El derecho a la intimidad personal y familiar y el derecho a la
protección de datos, pese a compartir el fundamento de la dignidad de la persona humana
y los derechos inviolables que le son inherentes en los términos reconocidos en el artículo
10.1 de la Constitución y en los Tratados Internacionales, son diferentes. La intimidad
presenta una faceta “defensiva” al excluir de la mirada ajena la “vida personal y familiar”
mientras que en la protección de los datos personales lo que se reconoce es una facultad
contenido positivo, un poder sobre la recogida, uso, destino y posterior tráfico de los datos
de carácter personal. El derecho a la protección de datos personales es el derecho
fundamental que tiene la persona a controlar el uso que se hace de la información que
personalmente le incumbe, sea de carácter íntimo o no, para evitar o rechazar usos que
puedan perjudicarle. Más que de propiedad se trata de un derecho de control, no
existiendo, como veremos, injerencia si media consentimiento.
Autores como DAVARA RODRÍGUEZ entienden que la protección de datos ampara
“contra la posible utilización por terceros, de forma no autorizada, de sus datos personales
susceptibles de tratamiento, para, de esta forma, confeccionar una información que,
identificable con él, afecte a su entorno personal, social o profesional, en los límites de su
intimidad”.22
En conclusión, el objeto referido en el artículo 18.4 de nuestra Carta Magna bajo la
fórmula de la tutela de los derechos de las personas frente al uso de la informática es la
protección de datos. El derecho a la protección de datos personales es el derecho
fundamental que tiene la persona a controlar el uso que se hace de la información que
personalmente le concierne, sea de carácter íntimo o no, para evitar o rechazar usos que
puedan perjudicarle. El hecho de que este derecho se recoja en el artículo 18 CE no
implica que sea una mera manifestación o reflejo del derecho a la intimidad, al igual que
tampoco lo son el honor, la propia imagen, el secreto de las comunicaciones y la
inviolabilidad del domicilio.
21Vid. ÁLVAREZ-CIENFUEGOS SUÁREZ, J. M. (21 de enero de 2001). “Comentario a las sentencias
del Tribunal Constitucional 290/2000 y 292/2000, de 30 de noviembre, sobre la Ley de Protección de
Datos”. La Ley. 22Vid. DAVARA RODRÍGUEZ, M. (2008). Manual de Derecho Informático (10ª ed.). Cizur Menor,
Navarra, España: Aranzadi SA. Página 49.
11
1.2 Datos protegidos
Como instituto de garantía distinto del recogido en el artículo 18.1, cuando se habla de
los datos protegidos por todo este marco normativo lo que interesa es que los referidos
datos “sean relevantes para o tengan incidencia en el ejercicio de cualesquiera derechos
de la persona, sean o no derechos constitucionales y sean o no relativos al honor, la
ideología, la intimidad personal y familiar a cualquier otro bien constitucionalmente
amparado”23. La categoría de dato personal resulta perfilada por nuestro TC, la Directiva
95/46/CE y la LOPD: información relativa a una persona (física) identificable o
identificada siendo irrelevante su naturaleza pública o privada. La Directiva, a su vez,
entiende por identificable a “toda persona cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un número de identificación o uno o varios
elementos específicos, característicos de su identidad física, fisiológica, psíquica,
económica, cultural o social”24.
Resulta trascendental la existencia de un tratamiento de lo que en apariencia son datos
carentes de relevancia, objetivamente inofensivos, tratamiento que permitirá obtener
información personal. Hemos de tener en cuenta que los datos per se son objetivos y no
necesitan protección alguna, sino que será el tratamiento que reciba el dato lo que lo
convierte en información. Hablamos de datos que, estructurados de cara a un fin
determinado de manera que su conocimiento se vuelva de interés y se sometan a otros
tratamientos que generen una información nueva y muy diferente de la primera,
alejándose poco a poco del ámbito de control y actuación del interesado; al igual las letras
aisladamente no dicen apenas nada pero hábilmente combinadas permiten confeccionar
una carta. Así, se aprecia en la propia normativa, que indica que para tal determinación
de la identidad de la persona se debe considerar el conjunto de medios que puedan
razonablemente ser utilizados por el responsable del tratamiento o cualquier otra persona,
“tratamiento” en nuestro artículo 3 LOPD comprende una serie de conductas amplísima:
“operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la
recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así
como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y
transferencias”. Este tratamiento sistemático, a través del cruce de datos aparentemente
23 Vid. STC 292/2000, FJ nº 6 24 En misma línea se encuentra el Real Decreto 1332/1994, que precisaba que la identificación del titular
de los datos podrá realizarse mediante cualquier elemento que permita determinar directa o indirectamente
la identidad física, fisiológica, psíquica, económica, cultural o social de la persona afectada
12
irrelevantes de cualquier tipo de naturaleza, puede servir para la elaboración de perfectos
perfiles personales sexuales, ideológicos, económicos, raciales, etc. Será precisamente
esa la amenaza de la que se quiere proteger a los individuos25. Los proveedores de
servicios de geolocalización obtienen una panorámica de las conductas del dueño y
pueden definir perfiles con gran nivel de detalle a través de un análisis sistemático de los
datos26.
La Directiva sobre la privacidad y las comunicaciones electrónicas 2002/58/CE, nos
proporciona en su artículo 2. C la definición de datos de localización: “Cualquier dato
tratado en una red de comunicaciones electrónicas que indique la posición geográfica
del equipo terminal de un usuario de un servicio de comunicaciones electrónicas
disponible para el público”. Esta definición se recoge de igual forma en el artículo 64.b)
del Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las
condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio
universal y la protección de los usuarios. Los dispositivos móviles están hoy en día
relacionados estrechamente con las personas ya que se puede averiguar quiénes son
directamente mediante un identificador único del dispositivo o indirectamente
combinando varios datos asociados. Debemos ser conscientes de que, aunque parezca
básico, cuando se alude a la posición geográfica de un terminal se refiere realmente a la
de su usuario, sus desplazamientos, sus orientación, cómo forma su voluntad en la
variación o mantenimiento de su dirección.27 Los niveles de precisión conseguidos
25Se ha expresado que «el hombre puede ser contemplado como un ininterrumpido rastro de huellas
informativas que cualquiera puede ir recogiendo con método y que luego puede utilizar a su capricho. Son
datos personales que de una forma aislada no aportan una información sustantiva sobre su titular, pero
debidamente agrupados e incluso manipulados, pueden ofrecer un perfil completo del individuo» . Vid.
BAÓN RAMÍREZ, R. (1996). Visión general de la informática en el nuevo código Penal (Vol. XI). Madrid:
Cuadernos de Derecho judicial. Página 77. 26Se han realizado estudios que demuestran cómo los datos vertidos en las redes sociales pueden
cruzarse para deducir perfiles que comprenden, entre otras, informaciones de relevancia como la
orientación sexual, ideología política, etnia…etc. Un grupo de investigadores del Psychometrics Centre de
la Universidad de Cambridge y del departamento de Ciencias de la Computación de la Universidad de
Stanford crearon un programa que, como un psicólogo digital, pudo detectar (con mayor precisión que los
propios usuarios) a través de un modelo matemático, basándose únicamente en alrededor de un centenar de
“me gusta”, los principales rasgos de un grupo de casi 90.000 usuarios. Vid. KOSINSKIA, M.,
STILLWELLA, D., & GRAEPEL, T. (12 de Febrero de 2013). Disponible en http://www-
psych.stanford.edu/~knutson/bad/kosinski13.pdf, consultado a 04/05/2015.
A su vez, los “me gusta” también han servido para dirigir publicidad personalizada. Esto no ha estado
exento de litigio por emplear datos de los particulares en ausencia del permiso necesario y para el
aprovechamiento del tercero anunciante. Véase, entre otros, el artículo publicado en
http://www.lavanguardia.com/tecnologia/redes-sociales/facebook/20140113/54399094460/facebook-
historias-patrocinadas.html 27Vid. DAVARA RODRIGUEZ, M.A., La protección de datos personales en el sector de las
comunicaciones electrónicas, Fundación Vodafone,2003. Página: 30
13
porestos servicios cada día alcanzan cotas más altas, permitiendo actualmente definir la
posición de los individuos, y con ello, sus rutas, incluso dentro de edificios.28.
Como advierte el Grupo de Trabajo del artículo 2929 en el Dictamen 13/2011 sobre los
servicios de geolocalización en los dispositivos móviles inteligentes “a partir de un
período de inactividad nocturna puede inferirse el lugar donde duerme la persona, y a
partir de una pauta de desplazamientos regulares por la mañana, la localización de su
empresa”30. Seguidamente alude a un punto de vista que suele pasar inadvertido, y es que
sobre la base de lo que se conoce como “gráfica social” se puede, por inducción, conocer
pautas de los movimientos de nuestras amistades. En conexión con el principio de
finalidad, debemos considerar que si el tratamiento de nuestros datos deja de servir
únicamente para responder a la pregunta “¿Dónde estoy?” para responder a “¿Dónde
estuve hace dos años?” o “¿Dónde se espera que esté dentro de tres semanas las siete de
la tarde?” habrá que reconsiderar la legitimidad del tratamiento.
Estos modelos de comportamiento pueden recoger categorías especiales de datos que
en nuestra regulación se verían comprendidos dentro de los protegidos bajo regímenes
jurídicos diversos reforzados en el artículo 7 LOPD, dado que su tratamiento puede
desembocar en comportamientos discriminatorios (ergo atentan contra la dignidad
humana): los llamados datos sensibles. Un ejemplo sería una visita a un lugar de culto o
28El desarrollo experimentado por las tecnologías que se basan en el indoor positioning (que funciona
más a través de Bluetooth, ZigBee y Wi-Fi que de GPS) permite geoposicionar a las personas dentro de
edificios. Actualmente ya se aplica para la gestión de pacientes y personal sanitario en grandes hospitales,
o los controles de acceso y movilidad en edificios que requieren un nivel elevado de seguridad, pero es en
el entorno de las compras donde muestra más posibilidades puesto que permite, a partir de la
geolocalización de un determinado cliente, identificar qué ruta sigue dentro del establecimiento, en qué
puntos concretos se detiene, o cuánto tiempo dedica a comprar. Una asociación de estos datos con sus datos
personales (sexo, profesión, edad..) e historial de compras que permitirá hacer llegar a su smartphone
ofertas en tiempo real totalmente personalizadas; y la de un alto número de clientes, supone una información
de incalculable valor para la definición de nuevas campañas. 29Creado en virtud del artículo 29 de la Directiva 95/46/CE. Se trata de un órgano consultivo europeo
independiente dedicado a la protección de datos y de la intimidad. Sus tareas se describen en el artículo 30
de la Directiva 95/46/CE y en el artículo 15 de la Directiva 2002/58/CE. 30 Se han realizado investigaciones que informan, entre otras cosas, cuál es el tiempo estimado para
componer una predicción de hábitos de un individuo geolocalizado con su coche. La estimación oscila entre
una semana y cuatro semanas. Vid. BELLOVIN M. S., H. R. (2014). When enough is enough: location
tracking, mosaic theory and machine learning. New York University Journal of Law & Liberty , 8:555, 555-
628. Disponible en
http://static.squarespace.com/static/514e1ca0e4b04c6ad1834313/t/536c75d9e4b0ffdd30e5a5ab/13996169
85724/Hutchins.pdf Páginas 155-628. Último acceso: 15/06/2015. Se examina el asunto de la Court
Supreme United States v. Jones, donde un ciudadano de EEUU se encontraba investigado por la policía
pro tráfico de drogas, la cual instaló en su vehículo un localizador GPS, sin que él fuera consciente de ello
y lo vigiló durante cuatro semanas. Los autores de la investigación entienden que de dicha observación
podrían haberse extraído datos privados, íntimos e innecesarios, como la práctica de un aborto, una cita en
una clínica contra el SIDA o una visita a un club de striptease.
14
la presencia en mítines políticos o manifestaciones, datos especialmente protegidos por
ser relativos a la libertad religiosa e ideológica, respectivamente; asimismo los datos sobre
las visitas a centros hospitalarios u otros lugares que puedan arrojar luz sobre la vida
sexual de un individuo también se consideran de especial protección por nuestra
normativa. Existen tres categorías con distinto régimen: 1) ideología, religión y creencias
y sindicación 2) raza, salud y vida sexual 3) infracciones penales y administrativas. Los
datos de localización no gozan de este nivel de protección al no referirse directamente a
estas categorías pero igualmente se considerarán datos personales por permitir la
identificación de un individuo.
Parece claro que la ubicación de un individuo encaja perfectamente en la categoría de
dato personal31 ya se refieren a una persona física identificada o identificable y estarán
sometidos a la normativa de protección primeramente de las comunicaciones electrónicas
e intimidad, y posteriormente a la de protección de datos personales.
1.3 Principios de la protección de datos
El articulado de la LOPD recoge los principios que rigen la protección de datos en su
Título II. Estos orientan y determinan la licitud de un tratamiento al establecer los
parámetros elementales de tutela en todas las fases del mismo, esto es: la recogida, el
tratamiento o utilización y, de darse, la cesión. Resultan auténticos deberes para el
encargado del tratamiento de los datos y sin ellos de la garantía de la libertad informática
no es posible. Probablemente podrían considerarse de mayor relevancia e interés para
nuestro trabajo: el principio de calidad de los datos (artículo 4), el principio de finalidad
(artículo 4.2), el principio de recogida leal (artículo 4.7), el principio de información
(artículo 5), el principio de consentimiento (artículo 6) y el principio de seguridad de los
datos (artículo 9) y el principio de deber de secreto (artículo 10). Constituyen todos ellos
31
De hecho, se trata de uno de los datos más codiciados de los individuos, por no decir que el que más.
Los datos registrados por los teléfonos inteligentes cada vez alcanzan un mayor detalle a la hora de describir
el estilo de vida y gustos del individuo. Esto resulta de gran interés para los anunciantes y responsables de
marketing. Google ha desarrollado la aplicación Google Now, que emplea la información de la ubicación
para proporcionar ciertos servicios a sus usuarios. Un investigador italiano y su equipo proporcionaron
smartphones a un grupo de personas para registrar todo tipo de datos personales y luego se creó un mercado
de estrategia inversa de subasta de segundo precio en el que podían venderlos. Los datos más valiosos
resultaron ser los de geolocalización, y más los procesados que los datos en bruto, puesto que ”percibían
que proporcionaba una mayor comprensión de su estilo de vida”. Vid. STAPIANO, J. (2014). “Money
walks: a human-centric study on the economics of personal mobile” data. UbiComp '14 Proceedings of the
2014 ACM International Joint Conference on Pervasive and Ubiquitous Computing. Páginas: 583-594
15
verdaderos deberes para el encargado del tratamiento de los datos, que se correlacionan
entre sí para garantizar el ejercicio de la libertad informática.
El artículo 4.1 LOPD se dedica a una concreción del principio de calidad, la
pertinencia de los datos personales. Los datos solo pueden recogerse y someterse al
tratamiento cuando sean “adecuados, pertinentes y no excesivos en relación con el ámbito
y las finalidades determinadas, explícitas para las que se hayan obtenido”. Este principio
establece que no es legítima la acumulación de datos personales32, sino que solo se deben
tratar los estrictamente necesarios para alcanzar la determinada finalidad perseguida.
En congruencia con este principio, el Grupo de Trabajo del Artículo 29 dictamina que
un proveedor de servicios de geolocalización o aplicaciones que recojan estos datos debe
fijar periodos de retención de datos de localización no superiores al necesario para los
fines para los cuales estos datos se recogieron o trataron, esto es, periodos justificados.
De poder demostrarse la necesidad del creador del sistema operativo o responsable de
infraestructuras que recojan esta clase de datos para actualizar o mejorar su servicio, se
debe velar con gran cautela para que estos datos permitan la identificabilidad del
individuo. Si el creador del sistema operativo o el responsable del tratamiento de la
infraestructura de geolocalización procesa un número único, tal como una dirección
Media Access Control (en adelante, MAC; identificador que corresponde de forma única
a una tarjeta o dispositivo de red) o Unique Device Identifier (en adelante, UDID; 20
bytes con los que Apple identifica de manera única a cada dispositivo) en relación con
datos de localización, este número único de identificación solo podrá almacenarse durante
un período máximo de 24 horas, con fines operativos. Transcurrido este plazo el UDID
deberá volver a ser anónimo y dicho UDID no debería poder ser asociado a anteriores o
futuros UDID atribuidos al producto, ni tampoco a cualquier identificador fijo del usuario
o al teléfono (tales como dirección MAC, número IIEM/IMSI o cualquier otro número de
cuenta). A su vez, cuando se envíe la dirección MAC asociada a una nueva localización
de un punto de acceso Wi-Fi (lo cual constituye un dato personal) debe eliminarse la
ubicación anterior de forma inmediata a fin de impedir que esos datos vuelvan a utilizarse
32 Estos acopios se utilizan con frecuencia, en ausencia de conocimiento del afectado, para elaborar
perfiles detallados sobre él que puedan basar la adopción de decisiones importantes (como la contratación
laboral o la contratación de seguros, por ejemplo). Vid. caso de la empresa RTA Claritas sobre el
Cuestionario de Hábitos de Consumo en España. Noticia de 14/05/2004.
16
con fines inadecuados, como actividades de mercadotecnia dirigidas a personas que han
cambiado su localización.
En el apartado segundo del mismo artículo se establece que el tratamiento debe
adecuarse a la finalidad autorizada y no a otras. Esto implicará que los datos que han sido
recabados y están siendo tratados por el encargado del tratamiento deben mantenerse
adscritos a la finalidad para la que fueron tratados. El artículo 4.2 LOPD habla de
“incompatibles”, mientras que la Ley Orgánica 5/1992, de 29 de octubre, de Regulación
del Tratamiento Automatizado de los Datos de Carácter Personal (en adelante,
LORTAD), ya derogada, utilizaba el término “distintas”. Se discute si esto implica que
estos datos pueden emplearse para conseguir objetivos conexos con la finalidad inicial o
si únicamente no debe haber una clara incompatibilidad entre fines y objetivos. Más
importante es que la Agencia Española de Protección de Datos (en adelante, AEPD), ante
la redacción oscura de la legislación, ha optado por ir al caso concreto para determinar en
situación por situación si la finalidad alegada como compatible ciertamente guarda
relación con la primera.
El séptimo apartado del analizado artículo 4 LOPD, termina por consagrar algo que
parece obvio: “Se prohíbe la recogida de datos por medios fraudulentos, desleales o
ilícitos”. Esta norma, bajo el nombre de principio de recogida leal, impone que el que
trate los datos debe emplear toda la diligencia necesaria para cumplir las condiciones de
licitud y prevenir los riesgos que para el individuo pueda suponer la recogida. Como
aludiremos en el siguiente capítulo, la lealtad se refiere al medio empleado para la colecta
y la obtención del consentimiento informado.
Parte del contenido esencial del derecho a la protección de datos personales según la
jurisprudencia del TC es el principio de información en la recogida de los datos y el
principio de transparencia, en clara conexión con los deberes del apartado
inmediatamente anterior, ya que de no proveerse de manera al interesado la información
relativa a qué datos van a recabarse el tratamiento que se va a hacer de ellos, la finalidad
por la cual se recogen y someten a tratamiento el libre consentimiento no puede emitirse.
También debe proporcionarse información acerca de la identidad y dirección del
responsable del tratamiento33, así como de la posibilidad del interesado de ejercitar los
33 Su importancia se hace notar cuando se quiere conocer qué cesiones o transferencias internacionales
se hayan hecho.
17
derechos de acceso, rectificación, cancelación y oposición (en adelante, ARCO) que se
expondrá con más detalle infra. La información debe comunicarse directamente a las
personas, no bastando con que la información esté “disponible” en algún lugar. Por
exigencia de principio de transparencia, la información debe ser completa, plasmada en
un texto claro, sin jerga, visible y comprensible para la amplitud del público, un público
que no es técnico ni se debe entender como tal por el mero hecho de poseer, en nuestro
caso, un smartphone. Si el responsable del tratamiento pudiera conocer que su servicio
atrae a un público juvenil, como puede ser una red social, esta información debe estar
redactada en un lenguaje que este pueda comprender. La información debe ser accesible
de forma permanente y fácil. El Grupo de Trabajo del artículo 29 entiende en el Dictamen
13/2011 antes citado que con el fin de alcanzar estos objetivos, los proveedores de las
aplicaciones deberán colaborar estrechamente con el creador del sistema operativo,
puesto que éste es técnicamente el mejor situado para crear una advertencia permanente
visible de que los datos de localización están siendo procesados, especialmente si el
proveedor de la aplicación pretende calcular la localización del dispositivo en más de una
ocasión; y para verificar que no se ofrezcan secretamente aplicaciones que controlen el
paradero de los dispositivos móviles inteligentes.
La libertad informática tiene, como se indicaba supra, una faceta positiva que exige
que terceros tomen medidas que garanticen el ejercicio del derecho. Por una parte
encontramos el deber de seguridad, el cual se traduce la obligación de adopción de
medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los
datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no
autorizado. Con esto nos referimos, entre otras medidas, a las de encriptación y los
sistemas automatizados de control del acceso a los datos; junto a la designación de
responsables del usos de los datos y canales de contacto de fácil acceso, que conste en las
condiciones de uso o privacidad. Como establece el artículo 81.4 RLOPD, las medidas
de seguridad que deben aplicarse a los datos de localización, por ser datos responsabilidad
de operadores que prestan servicios de comunicaciones electrónicas disponibles al
público o que explotan redes públicas de comunicaciones electrónicas, serán, junto a las
medidas de seguridad de nivel básico y medio, las medidas de seguridad de nivel alto del
artículo 103 del Reglamento de desarrollo de la LOPD. Es decir, será necesario implantar
un registro de accesos a dichos datos, de manera que de cada intento de acceso se guarde,
como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero
18
accedido, el tipo de acceso y si ha sido autorizado o denegado y en el caso de que haya
sido autorizado, será preciso guardar la información que permita identificar el registro
accedido.
Asimismo, otro aspecto esencial será el respeto del deber de secreto que lógicamente
implica que no se informe sobre el contenido de los datos almacenados o tratados en el
ficheros, que se encuentran legamente bajo el secreto profesional.
A su vez, deben facilitar una dirección para el ejercicio de los derechos ARCO de los
usuarios, regulados en el Título III de la LOPD.
2. EL PRINCIPIO DEL CONSENTIMIENTO
Como se ha introducido supra, multitud de riesgos o consecuencias indeseadas
(avalanchas de mensajes publicitarios personalizados, creación de bases de datos con
fines delictivos…) afloran cuando un dispositivo recoge los valiosos datos de
geoposición. Estos riesgos, susceptibles de afectar a nuestro entorno e intimidad,
justifican que se tutele que estos datos susceptibles de sensible tratamiento no puedan ser
utilizados por terceros de forma no autorizada. En orden a ello, nuestro ordenamiento
contiene en el artículo 6 LOPD34 la norma de que el responsable del tratamiento está
obligado a obtener el consentimiento inequívoco de la persona afectada para proceder a
tratar sus datos personales, salvo en los casos en que no sea necesario. Esto es, en la mayor
parte de los casos, el tratamiento de los datos de carácter personal se verá subordinado a
la voluntad del titular de tales, pudiendo legitimarlo únicamente el consentimiento
fundamentado previo a las operaciones de tratamiento.
Cuando se consiente para el tratamiento de los datos se elige qué parcelas de la vida
(gustos, rutinas, trabajo, familia…) pueden ser recogidas y registradas, tratadas,
cedidas… ya sea porque entiende que no se menoscaba su privacidad o porque el
interesado considera que existen razones que compensan tal sacrificio de esta. No
obstante, recordando que en nuestro ordenamiento jurídico español se entiende que
ningún derecho es absoluto, el valor del consentimiento podrá modularse y podrá ceder
34 Se trata de una novedad de la Directiva que inspira la LOPD, puesto que en el Convenio número 108
del Consejo de Europa no se recogía este principio del consentimiento, vertebrador de nuestra regulación
de la protección de datos, a favor de la libertad informativa.
19
por exigencias derivadas de la tutela de otros derechos y bienes constitucionalmente
protegidos.
El eje vertebrador de la protección de datos se consagra en el artículo 6.1 LOPD: “El
tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del
afectado, salvo que la Ley disponga otra cosa”. Consentimiento que se entiende como
“Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la
que el interesado consienta el tratamiento de datos de carácter personal que le conciernen”
de acuerdo a lo señalado en el artículo 3 h) LOPD.
2.1 Requisitos
Resulta esencial para este trabajo el realizar un análisis riguroso de los requisitos
de este consentimiento para enjuiciar con criterio los casos de recogida, tratamiento y
cesión de los datos de geolocalización: voluntad manifestada de forma libre, inequívoca;
específica, e informada. También nos planteamos si ese consentimiento puede prestarse
a posteriori. Considerando los riesgos de un mal tratamiento, las adjetivaciones de la
aprobación a este son una cuestión de capital importancia.
2.1.1 Libre
Supone que el consentimiento del afectado debe haber sido obtenido sin que intervenga
ninguno de los vicios del consentimiento en los términos del Código Civil, que establece
que será nulo el prestado por error, violencia, intimidación y dolo.
A su vez, el consentimiento no puede obtenerse haciendo obligatoria la aceptación de
los términos y condiciones generales o eliminando la posibilidad de exclusión voluntaria
de la cláusula que permita el tratamiento o recogida. Parece recomendable evitar los tipos
de consentimiento “todo o nada”: en función del tipo de datos debería solicitarse un
consentimiento específico, en especial cuando se soliciten datos que afecten tanto a la
privacidad como los de geolocalización.
El Grupo de Trabajo del Artículo 29 recomienda encarecidamente que se proceda a
procesos de renovación del consentimiento periódicos, incluso si no hay cambios en la
naturaleza del procesamiento de los datos. No parece adecuado seguir tratando los datos
de geolocalización de una persona cuando ésta no haya utilizado el servicio en largos
periodos de tiempo; como tampoco lo parece no recordarle nunca cómo es este
tratamiento y ofrecerle una vía sencilla para excluirlo si así lo desea.
20
Si bien el apartado tercero del artículo 6 LOPD prevé que el consentimiento puede ser
revocado a condición de que exista justa causa35 y no se le atribuyan efectos retroactivos,
entiendo que, cuando sea posible la revocación del consentimiento, esta debería ser
sencilla, sin involucrar consecuencias negativas para el uso de su dispositivo. Por
ejemplo, que se pueda revocar mediante la desinstalación de la aplicación que recoge los
datos.36
2.1.2 Inequívoco
¿Cuándo la LOPD habla de consentimiento “inequívoco” se refiere a que se admite
legalmente que el consentimiento sea tácito o, por el contrario, que haya de ser expreso?
La duda trae causa de que en la Directiva 95/46/CE utiliza, en inglés, el adjetivo
“unambiguous” que en la versión en español se ha traducido por “inequívoco”, de
utilización casi desconocida en nuestra tradición jurídica, en vez de elegir “tácito”. La
AEPD viene interpretando el término “inequívoco” como algo equivalente a “tácito”37,
precisamente por comparación con el artículo 7 LOPD, donde se emplea la palabra
“expreso” para referirse a cómo debe otorgarse el consentimiento respecto a los datos
especialmente protegidos, y además se exige la forma escrita. Para que ese
consentimiento tácito pueda ser considerado inequívoco, según la Agencia, se debe
otorgar al afectado un plazo prudencial para que pueda claramente tener conocimiento
del tratamiento y de que su omisión de oponerse al tratamiento implica un consentimiento
al mismo.
35 Según ORTÍ VALLEJO esta opción por la justa causa se trata de un desatino del legislador ya que es
un concepto jurídico indeterminado. Añade que el legislador se inclina por considerar de forma exclusiva
como justa causa comportamientos del responsable del fichero o el resto de los intervinientes en el proceso
informático que infrinjan lo establecido en la Ley y además esta revocación tiene carácter receptivo. Aquí
me pregunto si realmente responde al derecho a la autodeterminación informática vernos eternamente
limitados por la consecuencia de un consentimiento otorgado libremente en su momento, máxime cuando
el tratamiento no nos produce especiales beneficios. Estas trabas excesivas pueden dar lugar a más abusos
que los problemas que se quieren solucionar y estos solo podrán verse solucionados en virtud de la fuerza
expansiva del derecho de autodeterminación informativa. Vid. ORTÍ VALLEJO, A. (1994). Derecho a la
intimidad e informática. Granada: Comares. Página: 107 36 Fuera de las Directivas europeas de protección de datos, hay que mencionar que el World Wide Web
Consortium (en adelante W3C) ha desarrollado un proyecto de norma IPA (Interfaz de Programación de
Aplicaciones) de geolocalización que subraya la necesidad de consentimiento previo, expreso e informado
y que subraya especialmente la necesidad de respeto de la retirada del consentimiento, aconsejando a los
implantadores de la norma que consideren que “el contenido almacenado en una determinada URL cambia
de tal forma que las autorizaciones de localización concedidas anteriormente ya no se aplican en lo que
concierne al usuario. O los usuarios pueden simplemente cambiar de idea”. 37 Véanse los informes jurídicos relativos al consentimiento en la página web de la Agencia Española
de Protección de Datos (agpd.es), como el 2008-0093.
21
Sensu contrario, en los demás casos el consentimiento no prestado por escrito es válido
si se logra acreditar que se cumple el resto de los requisitos, recayendo la carga de la
prueba en el responsable del fichero. Por deducción, en ocasiones se puede entender
cumplido este requisito por comportamientos concluyentes, que permiten extraer un
consentimiento tácito. En ningún caso se puede presumir un consentimiento presunto, que
es lo que se prohíbe.
Un caso de consentimiento presunto, y por tanto inválido en este caso, sería el
deducido de la falta de intervención por parte de los usuarios de un sistema operativo que
establece por defecto la transmisión de datos de localización. Por defecto los servicios de
geolocalización deben encontrarse desactivados y los usuarios deben poder consentir de
forma gradual que se activen aplicaciones concretas. El Grupo de Trabajo del Artículo 29
en el dictamen 15/2011 sobre la definición del consentimiento ejemplificó que el hecho
de no modificar los parámetros de privacidad establecidos por defecto de una red social,
parámetros a los que no se accede necesariamente al utilizarla, no permite inferir al
responsable del tratamiento para inferir que se aprueba el tratamiento. En toras palabras,
si los titulares de los datos se abstienen de actuar o no pulsan el botón los usuarios no
significa que convengan que se puedan ver sus datos. Debido a la incertidumbre en cuanto
a si la inacción significa consentimiento, el no pulsar no puede considerarse
consentimiento inequívoco.
Que el consentimiento se otorgue por vía electrónica no supone ningún problema
puesto que el artículo 23 LSSI otorga plenos efectos a los contratos realizados y al
consentimiento prestado de esta manera, sin ser necesario el previo acuerdo de las partes
sobre la utilización de medios electrónicos. La información que se exige previamente a la
válida prestación del consentimiento, de acuerdo con el apartado 3º del mismo artículo,
se entiende válida si se contiene en un soporte electrónico.
2.1.3 Específico
Este requisito conecta con el principio de calidad de los datos en lo que se refiere a la
finalidad, recogido en el artículo 4.2 LOPD y que se ha introducido anteriormente.
Se otorga el consentimiento para que los datos se utilicen con concretas finalidades, lo
cual va a suponer que si la finalidad del tratamiento cambiara de forma sustancial, el
responsable del tratamiento deberá conseguir que el consentimiento se renueve para
cubrir esta nueva o distinta finalidad.
22
Para ilustrarlo mejor: si una aplicación informa sobre balnearios próximos, para
instalarla el desarrollador está obligado a conseguir el consentimiento y para acceder a
los datos de geolocalización deberá pedir el consentimiento de forma separada, como
puede ser durante el proceso de instalación o previamente a acceder a la geolocalización.
“Específico” supondrá que el consentimiento debe limitarse al objetivo concreto de
informar al usuario sobre balnearios cercanos. Es por ello que solo puede accederse a los
datos de localización del dispositivo cuando el usuario utiliza la aplicación a tal efecto.
Este consentimiento del usuario para que se procesen datos de geolocalización no está
admitiendo que la aplicación recoja de forma continua estos datos del dispositivo,
tratamiento que precisaría información adicional y un consentimiento por separado.
Otra muestra sería el de una empresa que decide pasar a compartir los datos personales
que maneja con un tercero cuando inicialmente declaró que no los comunicaría, por tanto
el consentimiento previo de cada cliente será esencial. No podrá entenderse la falta de
respuesta u cualquier otra forma de desistimiento como suficiente.
Además, debemos hacer una distinción entre el consentimiento prestado para un
servicio puntual y la autorización dada para una suscripción (que acordaría que se pueda
ser localizado permanentemente) como para servicios del corte de Find-a-Friend. La
prestación de un servicio que precise la localización automática de un individuo (por
ejemplo, la posibilidad de llamar a un número determinado para obtener información
sobre las condiciones meteorológicas del lugar en el que uno se encuentra) es aceptable,
siempre que se facilite a los usuarios una información completa por adelantado sobre el
tratamiento de sus datos de localización. Aquí, realizar esta llamada al número implicaría
otorgar el consentimiento a ser localizado al menos para ese concreto momento.
Como expone el Grupo de Trabajo del Artículo 29 en nuestro ya conocido Dictamen
13/2011, “a fin de utilizar un servicio de geolocalización particular, puede ser necesario
activar dichos servicios en el dispositivo o navegador. Si esta capacidad de
geolocalización se activa, cualquier sitio Internet puede leer los detalles de localización
del usuario del dispositivo móvil inteligente”. Por tanto, a fin de evitar que se nos vigile
secretamente, es importante que se advierta de forma permanente por el dispositivo que
la geolocalización se encuentra activada, vía por ejemplo a través de un icono visible de
forma permanente.
23
2.1.4 Informado
Los distintos responsables del tratamiento de datos deben asegurarse de que los
afectados, en nuestro estudio los usuarios cuyos datos de localización de tratan, estén
previa y adecuadamente informados sobre los elementos clave del tratamiento recogidos
en el artículo 5 LOPD. Estos elementos se han descrito supra al describir el principio de
transparencia o derecho de información.
2.1.5 Previo
La Ley no indica, al menos de manera clara, si el consentimiento puede ser prestado a
posteriori. En opinión de VIZCAÍNO CALDERÓN podemos derivar una solución
positiva, a sensu contrario, de lo previsto para los datos especialmente protegidos del
artículo 7.2 LOPD o la comunicación de los datos del artículo 11 LOPD donde se exige
que el consentimiento sea previo38. Bajo esta óptica, cabría que el consentimiento se
otorgase con posterioridad al momento del tratamiento. No obstante, el grupo de Trabajo
del Artículo 29 indicó en el Dictamen 13/2011 recalcó la importancia del consentimiento
fundamentado previo. Tratándose este grupo de los intérpretes de la norma que inspira
nuestra LOPD, el requisito impuesto parece ser este.
2.2 Casos especiales
2.2.1 Trabajadores
El consentimiento como piedra angular del procesamiento legítimo de los datos
personales es cuanto menos problemático en el mundo laboral.
Con cada vez más frecuencia las empresas instalan sistemas de localización GPS
acoplados a una red digital de comunicaciones móviles GSM (Global System for Mobile
Communications) en los vehículos de empresa. Estos dispositivos además de facilitar la
conducción, van a permitir la localización constante del vehículo con escaso margen de
error39 y resultan de especial utilidad en empresas de transporte, taxis, viajantes, etc. Con
estos sistema se permite una organización más eficaz de las entregas, rutas y en general
del control del trabajo y del uso que se hace del vehículo fuera del centro de trabajo (horas
38 VID. VIZCAÍNO CALDERÓN, M. (2001). Comentarios a la Ley Orgánica de protección de datos
de carácter personal. Madrid: Civitas. Página: 241 39 “De hecho, con tipos avanzados de GPS se podría conseguir localizar un objeto con errores
posicionales de pocos centímetros”. Vid. Despacho Cremades&Calvo Sotelo: «Estatuto jurídico de los
servicios de radiolocalización (GPS) a través de redes de telefonía móvil (GSM)», Revista de Contratación
Electrónica, núm. 24, 2002. Página: 6
24
de arranque, paradas, kilómetros recorridos, cantidad de combustible consumido. Si bien
la utilización de medios de control se encuadra dentro de los poderes empresariales
recogidos en el artículo 20.3 del Estatuto de los Trabajadores (en adelante, ET), ya que
se trata de una herramienta propiedad del empresario cuyo uso es susceptible de control,
ésta solo será legítima de acontecer una serie de requisitos.
Lo primero que se debe tener en cuenta es que, como hemos expuesto en los epígrafes
anteriores, cuando se tratan datos de geolocalización se afecta al derecho fundamental a
la protección de datos personales y la intimidad, pese a lo que en realidad lo que se
geolocaliza es el objeto en el que se ha instalado el dispositivo GPS. La AEPD dictaminó
en su Informe núm. 193/200827que los datos acopiados a través del sistema de
geolocalización (rutas seguidas, tiempos de parada, velocidad y consumo de combustible
del vehículo, etc.) se asocian a información concerniente a una persona física identificada
o identificable, de manera que según el art. 3 a) de la Ley Orgánica de Protección de
Datos (en adelante, LOPD) se consideran datos de carácter personal que deben generar
un fichero debidamente inscrito en el Registro General de Protección de Datos.
El TC sostiene que las limitaciones de los derechos fundamentales de los trabajadores
solo pueden derivarse del hecho de que la naturaleza del trabajo a desempeñar realmente
implique la restricción de ese derecho. Además, será necesario que se cumpla el principio
de proporcionalidad, que debe cumplir los requisitos de idoneidad, necesidad y
proporcionalidad stricto sensu. Por tanto, es pertinente realizar análisis de
proporcionalidad caso por caso para comprobar si el uso de tipo de medidas está
justificado o no, no cabiendo respuestas en términos generales40. Con todo, se puede
tomar como referencia lo que el Grupo de Trabajo del artículo 29 señaló en el Dictamen
5/2005, sobre el uso de los datos de localización con vistas a prestar servicios con valor
añadido. En este se expresaba: “Habida cuenta de la obligación de que se traten los datos
para fines específicos, el Grupo considera que el tratamiento de datos de localización
relativos a empleados ha de corresponder a una necesidad específica de la empresa que
guarde relación con su actividad”. Se entiende que la justificación puede encontrarse en
40Aunque una aproximación a los pronunciamientos judiciales de los Tribunales Superiores de Justicia
parece indicar que no se aplica en lo más mínimo la normativa sobre protección de datos de carácter
personal. En opinión de FERNANDEZ GARCÍA en algunas sentencias “no se entra a valorar directamente
una posible vulneración al derecho a la intimidad del trabajador sino que se limita el juzgador a indicar la
poca fiabilidad del sistema GPS para probar las conductas desleales del mismo”. Vid. FERNÁNDEZ
GARCÍA, A. (2010). Sistemas de geolocalización como medio de control del trabajador: un análisis
jurisprudencial. Revista Doctrinal Aranzadi Social. Páginas 6-10.
25
el control del transporte de pasajeros y bienes o incluso de mejoras de la distribución de
los recursos para servicios en puntos remotos o con vistas al logro de objetivos de
seguridad en relación con el propio empleado o con los bienes o vehículos a su cargo. En
cambio, se entiende excesivo (y por tanto, sería constitutivo de una intromisión) por el
Grupo cuando se controlan los planes de viaje de los empleados o se realiza con el
exclusivo fin de controlar el desempeño de un empleado, cuando existan otros medios
(juicio de necesidad). La propuesta del grupo consiste en la dotación de equipos que se
pongan a disposición de empleados y sobre todo, en los vehículos susceptibles de uso
también con fines privados, de sistemas que permitan la desactivación de la función de
geolocalización.
Los requisitos que anteriormente presentábamos serán los siguientes:
A) La finalidad por la cual se establezcan es únicamente la de verificar el
cumplimiento por el trabajador de sus obligaciones y deberes laborales. En
palabras del TC, esta verificación debe hacerse “guardando en su adopción y
aplicación la consideración debida a su dignidad”41. Los empresarios no deben
considerarlos como dispositivos para seguir o supervisar el comportamiento o el
paradero de los conductores o de otro tipo de personal, como con el envío de alertas
relativas a la velocidad del vehículo. Sin embargo, cabe perfectamente emplear
este tipo de sistemas para tareas como el transporte de mercancías a efectos de
saber dónde se encuentra el vehículo y cuándo podrá realizar determinadas
entregas. No obstante, ello no puede implicar que se implanten estos sistemas en
todos los vehículos42. Cuando pueda justificarse esta medida la base jurídica puede
ser el interés legítimo del responsable del tratamiento, recogido en el artículo 7. F)
de la Directiva sobre protección de datos y 6.2 LOPD. Lo deseable es que el
41 Vid. STC 186/2001, de 17 de septiembre. BOE núm. 129, de 27 de mayo de 2010.
42 La Comisión Nacional de Libertades e Informática (CNIL) de Francia adoptó la recomendación para
encuadrar la geolocalización de los vehículos de los empleados de 16 de marzo de 2006. En esta se
dictaminó que el uso de la geolocalización en los vehículos de los empleados solo encuentra justificación
en un número limitado de finalidades: a) Como medida de seguridad del propio empleado o de las
mercancías que tiene a su cargo, como por ejemplo vigilantes de seguridad en furgones que transportan
explosivos o guardas particulares en entornos rurales aislados. En estos casos cabría admitirse incluso la
instalación del sistema en el propio móvil del trabajador. b) Para una mejor asignación de los medios que
permita cumplir con las prestaciones que deben realizarse en lugares dispersos.c) Para el seguimiento y la
facturación de una prestación. d) Para el seguimiento del tiempo de trabajo, cuando este seguimiento no
pueda ser realizado por otros medios.
26
empresario emplee los medios menos intrusivos posibles, como sistemas que en
vez de realizar seguimientos continuos, envíen alertas cuando se crucen fronteras
virtuales.
B) Debe informarse a los trabajadores afectados de la instalación de estos controles,
sin ser necesario no obstante el consentimiento del afectado por la excepción del
artículo 6.2 LOPD cuando establece que “los datos de carácter personal (…) se
refieran a las partes de un contrato o precontrato de una relación laboral y sean
necesarios para su mantenimiento o cumplimiento”.
Respecto a la información que debe proveerse sobre la medida: su existencia;
cuándo se implantará, que esta permite obtener información geográfica de los
trabajadores durante la jornada laboral; los derechos de acceso, rectificación y
cancelación; que estos datos formarán parte del Fichero de Personal de la empresa
para gestionar la relación laboral existente; y si se van a ceder o no estos datos a
terceros. Resulta recomendable informar a los representantes de los trabajadores
de estas políticas adoptadas en esta materia43. En el expediente núm. E/00597/2006
la AEPD consideró adecuada la divulgación de esa información mediante
circulares informativas y la instalación de carteles indicativos en cada vehículo
equipado con undispositivo de geolocalización .
Para ilustrar esta obligación, encontramos en el expediente núm. E/742/200844 un
caso llevado ante la AEPD, iniciado a causa de la denuncia de los trabajadores de
una empresa al haberse instalado uno de estos sistemas en los vehículos de la
empresa. La Agencia se puede servir de pruebas indiciaria razonadas (como la
admisión del hecho por algunos trabajadores y a través de la negativa a prestar el
consentimiento de otros, de modo que conocían la instalación) y, en virtud de la
presunción de inocencia, confirmó que la empresa informó a los trabajadores de
tal instalación.
43 Vid. ÁLVAREZ HERNANDO, J. (22 de Marzo de 2010). “Cuestiones jurídicas acerca de los
dispositivos de geolocalización”.Disponible en:
http://alvarezabogado.blogspot.com.es/2010/03/cuestiones-juridicas-acerca-de-los.html Último acceso:
04/05/2015 44 Disponible en la propia web de la AEPD:
http://www.agpd.es/portalwebAGPD/resoluciones/archivo_actuaciones/archivo_actuaciones_2009/comm
on/pdfs/E-00742-2008_Resolucion-de-fecha-00-01-2009_Art-ii-culo-5-LOPD.pdf
27
C) El vehículo se haya proporcionado por la empresa para el desarrollo de las
funciones laborales del empleado. El GPS solo puede estar operativo durante el
horario correspondiente a la jornada laboral, incluso aunque nos encontrásemos
ante vehículos utilizados para fines privados del trabajador aun mediando
consentimiento de la empresa. El trabajador tiene que poder desactivar el
dispositivo de vigilancia del equipo o vehículo susceptible de georeferenciación
fuera del horario laboral y se le debe instruir sobre cómo hacerlo.
En resumen, de acuerdo con la Resolución de la AEPD E-742/2008 los datos que
puede recabar un GPS serán: la hora de arranque, la hora de aparcamiento, los puntos de
paso y paradas, la velocidad máxima y media de las furgonetas, consumo del vehículo
por simulación en función de los kilómetros recorridos, horas de funcionamiento,
kilómetros realizados por jornada y desviación de horas de la furgoneta en función de un
horario de trabajo configurable.
En lo relativo al periodo de retención de los datos, habida cuenta de que el artículo 4.5
LOPD determina que los datos de carácter personal se deben cancelar al dejar de ser
necesarios o pertinentes para la finalidad para la cual se recabasen o registrasen, habrá
que atender al caso concreto. El Dictamen 5/2005 del Grupo de Trabajo del artículo 29
señala que teniendo en consideración “las posibles justificaciones para el tratamiento de
los datos de localización, éste se llevará a cabo fundamentalmente en tiempo real. En
cualquier caso, el Grupo recomienda que el período de retención de los datos de
localización sea razonable, es decir, que no supere los dos meses”. Se recomienda por el
grupo la conversión previa a datos anónimos para aquellos que precisen tratamiento por
periodos superiores a dos meses, como, verbigracia, para elaborar un registro histórico de
los viajes con miras a optimizar los recursos.
Este tipo de medidas de vigilancia no solo se han llevado a cabo en el marco
empresarial, sino que también han acontecido casos de control basados en las señales de
geolocalización que emiten los vehículos oficiales en el seno de los cuerpos de seguridad
de nuestro Estado. La AEPD sancionó en la Resolución 02761/201345 a la Comandancia
de Burgos de la Guardia Civil por registrar y procesar los datos de posición de los
45 Disponible en la propia web de la AEPD:
http://www.agpd.es/portalwebAGPD/resoluciones/admon_publicas/ap_2014/common/pdfs/AAPP-00032-
2013_Resolucion-de-fecha-23-01-2014_Art-ii-culo-5.1-LOPD.pdf
28
vehículos (matrícula oficial del vehículo, posición geográfica, velocidad, recorrido
realizado, un indicativo numérico correspondiente al equipo de radio asociado al GPS y
el estado del equipo) durante el horario de servicio, sin que quedase constancia de que se
cumplió con el deber de información a los afectados del artículo 5.1 LOPD. Asimismo,
también se consideró infringido la obligación de inscripción del correspondiente fichero
donde se almacenaba la información. Esta infracción recibió la calificación de leve de
acuerdo a lo establecido en el artículo 44.2.c) LOPD.
Una asunto similar al recién expuesto la aquí planteada se abordó en el Informe de 28
de junio de 2012 del Gabinete Jurídico de la AEPD donde se buscaba delimitar cuáles,
desde la perspectiva de la protección de datos, eran los requisitos legalmente exigibles
para poder emplear en los vehículos de emergencias policiales sistemas de
geolocalización. Se expuso que aunque el tratamiento, planteado en abstracto, se
referencia a los vehículos policiales, parece claro que se puede asociar la ubicación de
estos con la identidad de los policías que estén haciendo uso de ellos. Aunque la finalidad
sea mantener un control en tiempo real de la localización de tales automóviles, no se
puede descartar que también se busque con estos sistemas analizar el rendimiento de la
flota. Si se crea un fichero con datos personales que permita la identificación de los
vehículos, asociados a los usuarios de tales, será de aplicación la normativa de protección
de la LOPD. En otros supuestos de tratamiento de datos personales por las Fuerzas y
Cuerpos de Seguridad, en ocasiones serán de aplicación las especialidades de normas
sectoriales, teniendo la LOPD entonces carácter competencia exclusiva, por exclusiones
expresamente establecidas en el artículo 2 LOPD, sobre el ámbito de aplicación de la
norma.46
Resulta importante determinar si la empresa que instala estos sistemas en los vehículos
de los empleados de otra empresa recibe la consideración de responsable del fichero o si
su actuación responde a la propia del encargado del tratamiento respecto de las empresas
46 Así sucede en el caso de la utilización de videocámaras por las Fuerzas y Cuerpos de seguridad en
lugares públicos, regulada primeramente por la LO 4/1997, de 4 de agosto, por la que se regula la utilización
de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos. En el apartado tercero, letra
e) del artículo 2 LOPD se establece que: “Se regirán por sus disposiciones específicas, y por lo
especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales:
los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas
y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia”. Vid. E/07065/2012 de la
AEPD, disponible en la propia web de la Agencia:
http://www.agpd.es/portalwebAGPD/resoluciones/archivo_actuaciones/archivo_actuaciones_2013/comm
on/pdfs/E-07065-2012_Resolucion-de-fecha-15-02-2013_Art-ii-culo-6.1-LOPD.pdf
29
a quienes preste sus servicios. La propia normativa española da la respuesta: el artículo
3.d) de la LOPD define al responsable del fichero o tratamiento en el artículo como la
“persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que
decida sobre la finalidad, contenido y uso del tratamiento.”; y perfila la figura del
encargado del tratamiento cuando en el artículo 12 LOPD se establece que: “No se
considerará comunicación de datos el acceso de un tercero a los datos cuando dicho
acceso sea necesario para la prestación de un servicio al responsable del tratamiento”.
Consiguientemente, siempre que la empresa no decida sobre la finalidad, contenido y uso
del tratamiento, lo cual la convertiría en responsable del tratamiento por cesión de datos
(que requiere el consentimiento de los afectados por mandato del artículo 11.1 LOPD)
será la encargada del tratamiento. La empresa tercera prestadora del servicio de
geolocalización solo podrá acceder a los datos del responsable del fichero (la empresa
cuyos vehículos se geolocalizan) para prestarle un servicio a este y siempre que dicha
relación de servicios se encuentre contractualmente establecida bajo los requisitos
formales del artículo 12.2 LOPD. El siguiente apartado del mismo artículo establece que
una vez cumplida la prestación, se debe proceder a la destrucción o devolución47 al
responsable del tratamiento, al igual que cualquier soporte o documentos en que consten
los datos personales objeto del tratamiento. El artículo 12.4 LOPD prevé la consecuencia
del incumplimiento: se entenderá como responsable del fichero al encargado del
tratamiento “que destine los datos a otra finalidad, los comunique o los utilice
incumpliendo las estipulaciones del contrato”, pasando a responder de las infracciones en
que hubiera incurrido personalmente.
Para concluir, recuerda BOELLE que en lo relativo a las medidas de seguridad
aplicables a estos datos, como estos son responsabilidad de operadores que prestan
servicios de comunicaciones electrónicas disponibles al público o que explotan redes
públicas de comunicaciones electrónicas, además de las medidas de seguridad de nivel
básico y medio, deberá aplicarse la medida de seguridad de nivel alto del artículo 103
RLOPD48. Esto implica que habrá que implantar un registro de accesos a dichos datos,
47 Según el Informe Jurídico 0613/2009 de la AEPD, el deber de devolución podrá llevarse a cabo
“mediante la entrega directa de los datos al propio responsable del tratamiento o mediante la realización de
dicha entrega al encargado del tratamiento que este designase, toda vez que en este segundo caso el
encargado actuaría como mero mandatario del responsable”. 48 Vid. BOELLE, S. (7 de Octubre de 2010). “La geolocalización y la normatica de protección de datos”
Disponible en: http://www.abogalista.com/recursos/temas/la-geolocalizacin-y-la-normativa-de-proteccin-
de-datos-lopd.html Último acceso: 04/05/2015
30
garantizando que de cada intento de acceso se guarden, como mínimo: la identificación
del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si
ha sido autorizado o denegado y en el caso de que haya sido autorizado, será preciso
guardar la información necesaria para identificar el registro accedido.
2.2.2 Menores
Los menores de edad son ávidos usuarios de los dispositivos móviles, ya sean propios
o compartidos (con sus familiares o en un centro educativo), y existe claramente un gran
mercado de aplicaciones de todo tipo destinadas a ellos49. Pero, a su vez, los niños apenas
conocen o comprenden, si es que lo hacen en absoluto, el alcance y la sensibilidad de los
datos a que las aplicaciones pueden acceder, o el alcance de los datos compartidos con
terceros para fines publicitarios. De hecho la mitad de los menores entre 11 y 16 años no
sabe configurar la privacidad de su perfil en una red social.
Como cabe la posibilidad de que los datos a tratar sean de menores de edad, debemos
examinar las especificas previsiones que el RLOPD, efectúa al respecto. El número
primero del artículo 13, relativo al otorgamiento del consentimiento, decreta que: “Podrá
procederse al tratamiento de los datos de los mayores de catorce años con su
consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la
asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de
catorce años se requerirá el consentimiento de los padres o tutores.” Entonces resulta que
el consentimiento para el tratamiento de los datos personales solamente podrá ser
otorgado por el interesado, salvo en el caso en que el afectado sea menor de 14 años o
incapaz, en cuyo caso deberá ser otorgado por sus padres o tutores, sin perjuicio de que
en aquellos supuestos en que una Ley así lo establezca, estos deban completar la
capacidad del menor, pese a ser mayor de 14 años. Los responsables de tratamiento de
datos de geolocalización deben atender a los límites de edad que definen la minoridad en
49 Según los datos del Instituto Nacional de Estadística referidos a 2013 de Instituto Nacional de
Estadística (INE) en la encuesta sobre equipamiento y uso de las tecnologías de la información y
comunicación en los hogares, el 91,8% de la población infantil entre diez y quince años usa Internet, y el
63% dispone de teléfono móvil (en una escala creciente que va del 26,1% entre los niños de diez años, al
90,2% entre los adolescentes de quince años). A pesar de que la encuesta sea relativa a la disposición de
teléfono móvil, el dato de ventas de “smartphones” (ocho de cada diez móviles) que estos son una de las
vías destacadas de los menores para el acceso a Internet por los mismos.
31
las legislaciones nacionales, puesto que en ocasiones el consentimiento parental al
tratamiento de datos será condición previa para la licitud del tratamiento.
Recordando lo ya expuesto supra respecto a la obligación de información prevista en
el artículo 5 de la LOPD, cuando el consentimiento afecte a los datos de un menor de
edad se exige un mayor rigor en el deber de informarle ya que se dirige a una persona
todavía no formada, lo que justifica que deba ser adaptada para su comprensión, dispone
así el artículo 13.3 RLOPD: “Cuando el tratamiento se refiera a datos de menores de edad,
la información dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente
comprensible por aquéllos”
En el examen deltema de los datos que es posible recabar, encontramos una particular
cautela fijada en el número 2 del artículo 13 RLOPD. Este dispone que: “En ningún caso
podrán recabarse del menor datos que permitan obtener información sobre los demás
miembros del grupo familiar, o sobre las características del mismo, como los datos
relativos a la actividad profesional de los progenitores, información económica, datos
sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos.”
Esto puede referirse, por ejemplo, a información financiera o perteneciente a categorías
especiales de datos como los datos médicos. Esta prohibición encuentra una excepción,
como establece el mismo artículo in fine, que para permitir que se complete la capacidad
del menor para consentir, autoriza que se recaben datos de identidad del padre de los
representantes legales para recabar la autorización prevista. Dada la vulnerabilidad de
este sector de la población, el principio de minimización de datos debe aplicarse de forma
tajante, junto a una limitación de las finalidades: no pueden procesarse los datos sobre
niños con fines de publicidad comportamental, ni directa ni indirectamente, por quedar
esto fuera del ámbito de comprensión del niño y, por ende, exceder de los límites de
tratamiento lícito.
Si normalmente la prueba del consentimiento, de acuerdo al artículo 12 del
Reglamento, corresponde al responsable del tratamiento, cuando se trata de menores de
edad hay mayores exigencias. El número 4 del artículo 13 dictamina que “corresponderá
al responsable del fichero o tratamiento articular los procedimientos que garanticen que
se ha comprobado de modo efectivo la edad del menor y la autenticidad del
consentimiento prestado en su caso, por los padres, tutores o representantes legales”. No
32
se impone un procedimiento determinado en el artículo, por lo que se deja libertad al
responsable del fichero para establecer el que considere adecuado.
De acontecer intromisiones en los derechos a la intimidad y protección de datos del
menor, recordemos que la Instrucción 2/2006, de 15 de marzo, sobre el Fiscal y la
protección del Derecho al honor, intimidad y la propia imagen de los menores concluye
que “el artículo 4.2 de la Ley Orgánica de Protección del Menor prevé la legitimación
directa y autónoma del Fiscal, que podrá actuar de oficio o a instancia de parte para
proteger los derechos de los menores al honor, la intimidad y a la propia imagen en los
casos en que la intromisión se produzca a través de un medio de comunicación. Esta
intensificación en el nivel de protección encuentra su justificación en el hecho de que la
entidad del daño se ve multiplicada de forma exponencial al realizarse el ataque a través
de los medios de comunicación. Incluso en los supuestos de la existencia del
consentimiento del menor maduro o, con todo, de los padres, que de haber tales
intromisiones ilegitimas puede resultar irrelevante, cuando pudiere resultar un perjuicio
para sus intereses”50.
3. RÉGIMEN DE RESPONSABILIDAD
3.1 Normativa
En un contexto de globalización como el imperante coexisten diversos ordenamientos
jurídicos que tutelan de manera diferente los datos personales. Es por ello importante
señalar que existe una diferencia que radica en la pertenencia o no a la Unión Europea del
Estado donde se desarrolle el tratamiento. En el plano comunitario, el marco jurídico de
aplicación será la Directiva sobre protección de datos, junto a la protección de los
dispositivos móviles como parte de la esfera privada de los usuarios, incluida en la
Directiva sobre la privacidad electrónica y las comunicaciones electrónicas. Esta
normativa cubre las aplicaciones destinadas a usuarios de la UE, independientemente de
dónde radiquen las empresas de los desarrolladores o las tiendas de aplicaciones
A) Cuando el proveedor del servicio de geolocalización desarrolle su actividad en un
establecimiento ubicado en un Estado Miembro de la Unión Europea (dada la
armonización en materia de protección de datos personales, todos los Estados
Miembros han desarrollado normas compatibles al respecto): se diferencia en esta
50 Vid. STS 778/2000 de 19 de julio; SSAP Asturias, sec. 7ª, nº 96/2003, de 13 de febrero y Madrid,
sec. 12ª, de 30 abril 2001.
33
materia, como se expondrá con más detalle posteriormente, si el método de
procesamiento de la localización es el de estaciones de base o si se procesan datos
de localización, como los GPS o los Wi-Fi. Si el que provee el servicio de
geolocalización es el responsable de la red de comunicaciones, en otras palabras,
el operador, y este ofreciera un servicio de geolocalización híbrido basado en esta
última clase de datos, su actividad se vería incluida dentro la explícita exclusión
de la Directiva sobre la protección de la intimidad y las comunicaciones
electrónicas, dada la restrictiva definición de “servicio de comunicaciones
electrónicas” (artículo 2, letra c), de la Directiva Marco revisada51. Su actividad,
por exceder el mero “transporte” de señales, se encuentra dentro del ámbito de
aplicación de la normativa general de protección de datos personales.
Esto implicará que, como se expondrá seguidamente, a no ser que realice
investigaciones en profundidad, el proveedor de servicios de telecomunicación se
limitará a actuar como transmisor, sin posibilidad de acceso a datos GPS, Wi-Fi o
de estación de base desde y hacia dispositivos móviles inteligentes entre usuarios
o abonados52 y los servicios de la sociedad de la información. En estos casos se
aplicará Derecho nacional siempre que el dispositivo se encuentre en el territorio
de un Estado miembro de la Unión Europea, de acuerdo al criterio del artículo 4,
apartado 1, letra c), de la Directiva sobre protección de datos.
En el caso de ser este Estado el español, de acuerdo a lo dispuesto en el artículo
3.1 a) del RLOPD “se regirá por el presente Reglamento todo tratamiento de datos
51 Directiva 2002/21/CE, de 7 de marzo de 2002, artículo 2, letra c): «servicio de comunicaciones
electrónicas: el prestado por lo general a cambio de una remuneración que consiste, en su totalidad o
principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas, con inclusión
de los servicios de telecomunicaciones y servicios de transmisión en las redes utilizadas para la
radiodifusión, pero no de los servicios que suministren contenidos transmitidos mediante redes y servicios
de comunicaciones electrónicas o ejerzan control editorial sobre ellos; quedan excluidos asimismo los
servicios de la sociedad de la información definidos en el artículo 1 de la Directiva 98/34/CE que no
consistan, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones
electrónicas». 52 En el sector de las telecomunicaciones existe normalmente una diferencia relativa a la protección de
datos dependiendo de si se es usuario o abonado. Las Directivas 97/66/CE y 2002/58/CE establecen las
siguientes definiciones: “se entiende por usuario la persona que utiliza un servicio público de
telecomunicaciones para fines privados o comerciales, aunque no haya contratado ese servicio”. Por otro
lado, será abonado la persona física o jurídica que sea parte de un contrato con el proveedor en un servicio
público de telecomunicaciones para la prestación de tales servicios. Un usuario también es objeto de
protección cuando se trata de un derecho fundamental como es el de la privacidad, aunque no haya mediado
relación contractual alguna con el proveedor del servicio. Será el usuario el titular de los datos.
34
de carácter personal (…) cuando el tratamiento sea efectuado en el marco de las
actividades de un establecimiento del responsable del tratamiento, siempre que
dicho establecimiento se encuentre ubicado en territorio español” y se añade que
“cuando no resulte de aplicación lo dispuesto en el párrafo anterior, pero exista un
encargado del tratamiento ubicado en España, serán de aplicación al mismo las
normas contenidas en el Título VIII del presente Reglamento”.
Por tanto, el encargado del tratamiento se somete a la legislación del Estado
Miembro donde esté sito el establecimiento en cuyo ámbito se desarrollase el
tratamiento, y se aplican al responsable del fichero las normas de la LOPD si actúa
en España, en únicamente en materia de seguridad y deber de devolución (y las
consiguiente normativa sancionadora en caso de incumplimientos).
B) De encontrarse el encargado del tratamiento en un Estado no parte de la Unión
Europea sería aplicable lo dispuesto en el artículo 3.1 c) del RLOPD, según el cual
“Se regirá por el presente Reglamento todo tratamiento de datos de carácter
personal (…) cuando el responsable del tratamiento no esté establecido en
territorio de la Unión Europea y utilice en el tratamiento de datos medios situados
en territorio español, salvo que tales medios se utilicen únicamente con fines de
tránsito”, indicando además que “en este supuesto, el responsable del tratamiento
deberá designar un representante establecido en territorio español”. En este caso,
sería plenamente aplicable la Ley Orgánica 15/1999 y el responsable del fichero
debe actuar como representante legal del cliente. Cuando los proveedores del
servicio con valor añadido no se encuentren establecidos en un Estado miembro de
la UE, solo será posible la transferencia de los datos de localización por parte del
operador de comunicaciones electrónicas al responsable del tratamiento en las
condiciones establecidas en el Capítulo IV de la Directiva 95/46/CE relativo a la
transferencia de datos personales a países terceros. Se requerirá que la Comisión
Europea considere que la normativa sobre protección de datos del tercer país es
adecuada o de que la transferencia se base en otras razones legítimas,
especialmente en el consentimiento del interesado, la existencia de un contrato
celebrado en interés del interesado, la existencia de un interés público superior, el
ejercicio o defensa de un derecho en un procedimiento judicial, o la necesidad de
salvaguardar los intereses vitales del interesado.
35
3.2 Sujetos que participan en el tratamiento de datos
En lo que se refiere a los servicios de geolocalización online en la gama de servicios
de la sociedad de la información, es necesario preguntarse quién es el responsable del
tratamiento indebido o deficiente53 a causa del uso de aplicaciones con servicios de
geolocalización integrados. En la transmisión de estos datos intervienen una pluralidad
de sujetos, siendo posible identificar distintos niveles de responsabilidad respecto a los
datos de geolocalización: la responsabilidad de los responsables de las infraestructuras
que permiten la geolocalización (por lo general, compañías de telecomunicaciones), la
que recae sobre los desarrolladores de sistemas operativos para los teléfonos, y
finalmente, la asumida por los creadores y proveedores de aplicaciones específicas que
incluyen herramientas basadas en el geoposicionamiento. Con frecuencia serán empresas
las que, al cumplir varias de estas funciones a la vez, sean responsables.
3.2.1 Fabricantes del dispositivo y titulares de la aplicación. Especial inciso respecto
a los operadores de red
Lo más importante será tener claro si el fabricante del dispositivo es a la vez o no el
titular de la aplicación que se sirve de la geolocalización. En orden a ello, procede
distinguir entre los posibles casos que pueden darse:
La primera situación será la del fabricante del dispositivo móvil inteligente que a su
vez resulta ser el autor de la aplicación de geolocalización o el que la explota bajo una
licencia de explotación otorgada por el autor de la misma. En ese supuesto, devendrá
responsable de los tratamientos inadecuados realizados con la aplicación implicada. Esto
resulta habitual en los casos en los que el software del terminar incorpora por defecto la
susodicha aplicación.
La segunda situación y la más habitual, sensu contrario, es la del fabricante del
dispositivo que no es el autor de la aplicación de geolocalización: en estos casos no
responde del tratamiento indebido de los datos, siendo el responsable el titular de la
aplicación de acuerdo al artículo 43 LOPD ya que es éste quien trata los datos. Esta
conecta con la responsabilidad penal, administrativa y civil (la cual abarca la derivada de
las obligaciones de la normativa de protección de datos) fijada en el artículo 13 LSSI. Se
53 Por tratamiento indebido se entiende al tratamiento de datos sin consentimiento del titular o para una
finalidad distinta de la autorizada por el titular de los datos; mientras que contratamiento deficiente se alude
al tratamiento de datos realizado mediando consentimiento del titular, pero con datos obsoletos.
36
excluye de responsabilidad a los intermediarios54. Será en este supuesto el proveedor de
tal servicio (el desarrollador de la aplicación) el que deba recabar el consentimiento de la
persona interesada, fundamento jurídico necesario para permitir que procesen datos
personales, existiendo particularidades en las formalidades del permiso para el acceso a
a los datos por parte de terceros (como redes publicitarias que acceden a los datos de
localización del dispositivo para enviar publicidad comportamental) en el artículo 12
LOPD, siempre que no sea necesario para la prestación del servicio al responsable del
tratamiento. En cuanto al diseño de la aplicación hay que señalar que la información
pertinente al tratamiento de datos debe ser accesible desde la propia aplicación, una vez
instalada, no solo de forma previa a la instalación.
Los servicios de geolocalización se prestan gracias a los datos que se obtienen del
operador de telecomunicaciones de comunicaciones electrónicas, por cuya red estos datos
se transmiten. ¿Pende sobre este alguna clase de responsabilidad? Bien, de acuerdo al
artículo 14 LSSI, que establece la figura del operador de red, no son responsables de los
hechos que ocasionen responsabilidad a raíz de datos que se transmiten por las redes de
comunicaciones de las cuales ostentan la titularidad. Únicamente responderán cuando los
operadores sean los que originen la transmisión, modifiquen los datos (no entendiéndose
por esto manipulaciones estrictamente técnicas) o hayan seleccionado los destinatarios o
datos. Esto no sucede con frecuencia cuando se habla de aplicaciones de
geolocalización55, donde lo que normalmente se hace (y no genera responsabilidad) es
almacenar de forma automática y provisional los datos, durante un tiempo razonable, de
modo que se transmita por su red de forma momentánea el montante de datos. El operador
se debe limitar a poner a disposición de las otras partes la red necesaria para que el
servicio de telecomunicaciones se pueda prestar; de excederse, como por ejemplo haría
54 Los prestadores de servicios de intermediación según la LSSI (artículos 14 a 17) son los prestadores
de servicios que faciliten enlaces a contenidos o instrumentos de búsqueda; los prestadores de servicios que
realicen copias temporal de los datos solicitados a los usuarios; los operadores de redes y proveedores de
acceso; y los prestadores de servicios de alojamiento o almacenamiento de datos.
55 En concreto, según el artículo 14 LSSI, “los operadores de redes de telecomunicaciones y proveedores
de acceso a una red de telecomunicaciones que presten un servicio de intermediación que consista en
transmitir por una red de telecomunicaciones datos facilitados por el destinatario del servicio o en facilitar
acceso a ésta no serán responsables por la información transmitida, salvo que ellos mismos hayan originado
la transmisión, modificado los datos o seleccionado éstos o a los destinatarios de dichos datos. No se
entenderá por modificación la manipulación estrictamente técnica de los archivos que alberguen los datos,
que tiene lugar durante su transmisión. Las actividades de transmisión y provisión de acceso a que se refiere
el apartado anterior incluyen el almacenamiento automático, provisional y transitorio de los datos, siempre
que sirva exclusivamente para permitir su transmisión por la red de telecomunicaciones y su duración no
supere el tiempo razonablemente necesario para ello”.
37
si realmente tratase los datos para una mejor transmisión o realizara copias temporales
de los datos56, la responsabilidad le es exigible en la medida establecida en los artículos
14 a 17 de la LSSI.
3.2.2 Los creadores de sistemas operativos para los dispositivos móviles
inteligentes o de dispositivos específicos de geolocalización
La responsabilidad sobre el tratamiento de datos de geolocalización por parte de
creadores del sistema operativo o fabricantes del dispositivo puede nacer de una variedad
de situaciones. En ocasiones, cuando proceda, la responsabilidad será conjunta.
Una primera posibilidad surge de interacciones con el usuario en las que se procesen
datos personales con fines propios, como el buen funcionamiento del dispositivo o
motivos de seguridad. En esta categoría se incluyen datos generados por los propios
usuarios (como los que se ofrezcan en un registro inicial), los que genera el dispositivo
de forma automática (por ejemplo, cuando el dispositivo cuenta con una funcionalidad
“llamar a casa”; o las copias de seguridad, localización a distancia…) y los datos
personales tratados por ellos derivados de la instalación o el uso de aplicaciones. En lo
relativo a esta última variedad, debemos aclarar que cuando una aplicación requiere
acceso a la geolocalización precisará los servicios de localización del sistema operativo.
Por tanto, siempre que una aplicación emplee la geolocalización, el sistema operativo
podrá recogerlos para transmitírselos a las aplicaciones además de considerar el uso de
los datos para mejorar sus propios servicios de localización. En esta última situación, se
considera que el autor del sistema operativo es el responsable del tratamiento. En todos
estos casos deberán también, obviamente, informar previamente al interesado sobre los
fines (específicos y legítimos) para los que desea procesar estos datos y la duración del
tratamiento.
A su vez, también devienen responsables de la Interfaz de Programación de
Aplicaciones que permite el tratamiento de datos personales por las aplicaciones de los
dispositivos inteligentes. Ya que los fabricantes de sistemas operativos y de dispositivos
56 Como la dirección MAC de un punto de acceso Wi-Fi, en combinación con su ubicación calculada,
se considera dato personal por permitir la identificabilidad del individuo geolocalizado, la recogida de estos
datos también merece la consideración de tratamiento de datos personales. Tanto el operador de
telecomunicaciones (siempre que ofrezca un servicio más allá de la intermediación) como el propietario de
la base de datos (el titular de la aplicación, normalmente) serán responsables del tratamiento por determinar
los fines y medios de este con arreglo a la definición del artículo 3, letra d) de la LOPD, siendo indiferente
la forma de recopilación de estos datos (puntual o continua).
38
fijan los medios (y el grado) de acceso a los datos personales, deben cerciorarse de
implementar un sistema de control suficientemente diferenciado o “granulado”,
permitiendo solo el acceso a los datos estrictamente necesarios para el funcionamiento de
la aplicación por parte de los titulares de la misma57. Deben garantizar a su vez que este
acceso sea revocable de forma sencilla y eficaz. En otras palabras: deben procurar evitar
mediante los del sistema operativo y del dispositivo que otras aplicaciones o el propio
dispositivo recoja y emita esos datos de forma oculta58, sin posibilidad de que se niegue
de forma sencilla el interesado.
Con relación a lo que trataremos en el apartado que viene a inmediata continuación,
los creadores de sistemas operativos también devendrán responsables del tratamiento de
datos si ofrecieran alguna plataforma de venta de aplicaciones en la red con la que traten
datos personales provenientes de la instalación y uso de aplicaciones de geolocalización,
independientemente de la responsabilidad de los proveedores de aplicaciones.
3.3 Derechos ARCO y la protección de la AEPD y la Administración de Justicia
En el epígrafe del consentimiento aludíamos al ejercicio de los derechos ARCO
recogidos en los artículos 15 a 17 LOPD, en relación con los artículos 27 a 36 LOPD.
Estos derechos se ejercitan frente al titular de la aplicación.
El derecho de acceso permite al afectado obtener información sobre cuáles de sus
datos personales son objeto de tratamiento, bajo qué forma se han obtenido y lo relativo
a las comunicaciones que se busque hacer con ellos. De no resolver de forma expresa
sobre el acceso el titular de la aplicación en el plazo máximo de un mes a contar desde
57 En lo relativo a la seguridad los fabricantes de sistemas operativos y dispositivos y terceras partes
como Agencia Europea de Seguridad de las Redes y de la Información, (en adelante, bajo sus siglas en
inglés, ENISA)57 han publicado cuantiosas directrices relativas a la seguridad de las aplicaciones para
dispositivos móviles. Entre las recomendaciones destinadas tanto a los desarrolladores de aplicaciones
como las tiendas de aplicaciones encontramos que deberían incluir la aplicación del principio del mínimo
privilegio por defecto, según el cual las aplicaciones pueden acceder únicamente a los datos que realmente
necesitan para poner una función a disposición del usuario.Vid. Smartphone Secure Development Guideline
de la Agencia Europea de Seguridad de las Redes y de la Información. Disponible en:
http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/smartphone-security-
1/smartphone-secure-development-guidelines. Último acceso: 16 de mayo de 2015. 58 Este tipo de cuestiones no solo afectan a la privacidad, sino a la seguridad. Resulta ejemplificador el
caso de Apple, que hasta 2011 acopiaba datos de geolocalización de sus usuarios, incluso cuando
desconectaban el servicio de geolocalización. El polémico archivo oculto, “consolidated.db”, donde se
almacenaban estos datos (presentados en forma de mapa en el que se podían ver todos los lugares por los
que había pasado el aparato) no reunía las condiciones de cifrado y protección precisas, amén de encontrarse
disponible para cualquier ordenador con los que el dispositivo se hubiera sincronizado.Véase, entre otros,
el artículo publicado al respecto en
http://tecnologia.elpais.com/tecnologia/2011/05/05/actualidad/1304586061_850215.html a fecha 5 de
mayo de 2011.
39
que se recibió la solicitud (establecido en el artículo 29 RLOPD), se puede reclamar ante
la AEPD (o las autoridades autonómicas de protección de datos establecidas al efecto, a
saberse la Agencia Vasca de Protección de Datos o la Autoridad Catalana de Protección
de datos) de acuerdo al artículo 18 LOPD. Salvo que se acredite un interés legítimo al
efecto, se puede denegar el acceso a estos datos cuando se haya ejercitado en los doce
meses previos a la solicitud.
Los derechos de rectificación y cancelación del artículo 16 LOPD, en relación con los
artículos 31 a 33 RLOPD permiten solicitar que estos datos provistos, cuando resulten
inexactos o incompletos, se modifiquen para acomodarse a la situación real del titular de
los datos; y en el caso del segundo derecho, que se dé lugar al bloqueo de los datos,
conservándose meramente a disposición de las autoridades públicas para la atención de
las posibles responsabilidades nacidas del tratamiento durante el plazo de prescripción.
Debe resolverse de forma expresa en el plazo máximo de diez días a contar desde la
recepción de la solicitud; cabiendo en caso de falta de tal resolución la interposición de
una reclamación ante la AEPD.
Finalmente, el derecho de oposición, establecido en el artículo 17 LOPD, en relación
los artículos 34 a 36 RLOPD permite al afectado mostrar su oposición a que los datos
sean tratados, pero solo se aplica cuando no es necesario su consentimiento para la
recogida y tratamiento de sus datos, y como estas aplicaciones exigen por norma el
consentimiento del titular para el tratamiento, no será de aplicación. Tiene sentido cuando
estos datos se recojan por aplicaciones activadas en los dispositivos por defecto. Los
plazos de resolución y reclamación ante la AEPD son los mismos de derechos de
cancelación y rectificación.
El medio que titular de la aplicación de geolocalización para ejercitar los citados
derechos debe ser sencillo y gratuito de acuerdo al artículo 24.2 RLOPD. Puede hacerse
por ejemplo a través del servicio de atención al cliente o de conforme al procedimiento
previsto en los artículos 24 a 26 RLOPD. Se trata de derechos independientes, lo que
significa que el ejercicio de ninguno de ellos está condicionado al hecho de haber
ejercitado otro previamente.
40
Si el ejercicio de estos derechos no fuera satisfactorio, es posible proceder a la
denuncia de la situación ante la AEPD59 o acudir a la vía jurisdiccional60, sin que el optar
por una de estas vías descarte la otra.
El titular de los datos puede solicitar indemnización por daños y perjuicios de
producirse éstos por infracciones de la LOPD ejercitando la acción reconocida en artículo
19 LOPD.
3.4 El sistema de sanciones de la LOPD y su desarrollo reglamentario
Bajo el Título VII “Infracciones y sanciones” se establece un régimen sancionador al
que se somete a los responsables de los ficheros y los encargados de los tratamientos,
existiendo especialidades cuando se trate de ficheros” de los que sean responsables las
Administraciones Públicas” (artículo 43.2 LOPD).
Las infracciones podrán ser leves, graves y muy graves (artículo 44) y las sanciones
relativas a las infracciones respecto a ficheros de titularidad privada son multas que
oscilan entre los 601’01€ y los 601.012’10€, graduándose la cuantía de acuerdo a la
naturaleza de los derechos personales afectados, volumen de los tratamientos efectuados,
beneficios obtenidos, grado de intencionalidad, daños y perjuicios causados a las
personadas interesadas, reincidencia y cualquier otra circunstancia que sea relevante para
determinar el grado de antijuricidad y culpabilidad presentes en la actuación infractora.
En cuanto a la prescripción: las infracciones leves prescriben al año, o a las dos las
graves y a los tres años las muy graves (artículo 47). Las sanciones tienen un plazo de
prescripción de tres años las impuestas por infracciones muy graves, de dos años las que
traigan causa de infracciones graves y de uno las que sean consecuencia de faltas leves.
El procedimiento sancionador será el establecido en el RLOPD en los artículos 120 a
129. Existe posibilidad de interponer un recurso contencioso administrativo contra las
resoluciones de la AEPD. Si aconteciere un caso de infracción muy grave, de tal manera
59 La cual traslada la reclamación al titular de la aplicación para que en un plazo máximo de quince días,
formule alegaciones y, tras ese plazo, se resuelva sobre la procedencia de la denegación total o parcialde
tales derechos. Contra estas resoluciones de la AEPD cabe recurso de reposición ante el Director de la
Agencia, bien directamente recurso contencioso-administrativo. 60 Dada la variedad de situaciones que puede dar lugar a la lesión del derecho a la intimidad, es posible
que la LOPD no sea la única norma conculcada, sino que por ejemplo se haya vulnerado la LSSI.
Verbigracia, si los datos de posición de un terminal se utilizasen para enviar publicidad al terminal del
titular de los datos, sin mediar su consentimiento para esta operación, nos encontraríamos ante la
vulneración del artículo 6 LOPD y del artículo 21 LSSI. En este supuesto serían de aplicación las acciones
de cesación y prohibición del artículo 30 LSSI.
41
que se utilizaren o cedieren los datos personales atentando contra los derechos de los
ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes
garantizan, el Director de la AEPD podrá requerir a los responsables de los ficheros la
cesación de esa ilícita utilización o cesión de datos (artículo 49), pudiendo, de atenderse
a su requerimiento, proceder a la inmovilización de los ficheros.
42
CONCLUSIONES
PRIMERA: Los servicios de geolocalización están en auge como consecuencia del
también galopante aumento del uso de smartphones y tabletas entre la población. Los
propietarios de estos dispositivos personalizan su experiencia a través de la instalación de
aplicaciones que para ofrecer servicios variada índole se sirven de la transmisión de datos
que indican su ubicación geográfica en momentos determinados. Si bien las posibilidades
ofrecidas por los dispositivos de geolocalización pueden resultar perfectamente útiles,
estos merecen las más cautas aproximaciones, puesto que al mismo tiempo se presenta el
riesgo de tratamientos indebidos o indeseados. Los datos de geolocalización revisten un
valor considerable por permitir, mediante la inducción y cruzado con otros datos, la
identificación de un individuo y la elaboración de un perfil del mismo. Un mal
tratamiento, el cual incluiría la deficiente adopción de medidas de seguridad, puede
brindar información de interés económico y personal a terceros que, por razones de
seguridad, empresariales y personales, su titular puede preferir mantener fuera de la
mirada ajena.
Siendo conscientes del aún cuestionable cumplimiento de la normativa de protección
de datos en la Sociedad de la Información, se recomienda a los usuarios de dispositivos
que emiten señales de localización que examinen meticulosamente las condiciones de las
aplicaciones que utilizan, junto a un uso prudente y consciente del sistema de localización
de su terminal.
SEGUNDA: Teniendo en cuenta los citados peligros que entraña el procesamiento de
los datos de geolocalización en los ámbitos regional (principalmente, la Unión Europea y
Consejo de Europa) y estatal se ha asistido al desarrollo de un sistema de protección de
los datos personales en general, autónomo de la tutela del derecho a la intimidad. Procede
la aplicación de la normativa de tutela de los datos personales dado que los datos de
geolocalización posibilitan que la expresión de la ubicación de un terminal posibilite,
mediante identificadores únicos o a través de la combinación de varios datos asociados,
el conocimiento de la identidad de su propietario y se le relacione con los desplazamientos
llevados a cabo. Esta interconexión de datos puede derivar en la elaboración de perfiles
detallados sobre las vicisitudes sexuales, ideológicas, económicas, raciales de las
43
personas, entre otras. Resultando el conocimiento de estos perfiles de sumo valor para
terceros, y teniendo en cuenta que su acceso a los datos puede resultar deseado o no por
sus titulares, se desprende de aquí la necesidad imperiosa de proteger las vertientes
positiva y negativa del derecho a la protección de datos, y en particular, para lo que
interesa en este trabajo, de los datos de geolocalización.
TERCERA: El eje central de la protección de datos es el principio del consentimiento.
Salvando las excepciones legales, cuando media el consentimiento del titular para el
tratamiento y recogida de sus datos se entiende que no existe una intromisión ilegítima
en su derecho por parte del responsable del tratamiento, al igual que sucede en los
derechos del honor, propia imagen e intimidad personal y familiar. Hemos analizado los
requisitos de esta manifestación de voluntad dado que de no cumplirse no se entenderá
lícito: voluntad manifestada de forma libre, inequívoca; específica; informada y que
puede otorgarse a posteriori.
El requisito de libre implica que el consentimiento no puede obtenerse haciendo
obligatoria la aceptación de los términos y condiciones generales o eliminando la
posibilidad de exclusión voluntaria de la cláusula que permita el tratamiento o recogida;
en lo relativo a inequívoco, es destacable que se prohíbe el consentimiento presunto
(como el que se deduce por inacción cuando el sistema operativo envía los datos de
geolocalización por defecto). En lo tocante a específico, lo que se extrae es que el
consentimiento se otorga para el tratamiento con determinadas finalidades, las cuales, de
mutar, exigen la renovación del consentimiento otorgado para seguir legitimando el
tratamiento. Se exige que el consentimiento sea informado, suponiendo que el titular de
los datos debe ser previa y adecuadamente informado sobre los elementos clave del
tratamiento recogidos en el artículo 5 LOPD. La Ley no es clara a la hora de establecer si
el consentimiento puede ser prestado a posteriori, pero el grupo de Trabajo del Artículo
29 entiende que debe ser previo al momento del tratamiento.
CUARTA: En nuestro ordenamiento jurídico existen casos especiales en los que, por
razón de los sujetos que intervienen, el consentimiento no debe prestarse igual que en el
régimen general.
En el caso de los empleadores que instalan sistemas de geolocalización en los
vehículos (y en ocasiones, otra clase de dispositivos) de empresa, procede realizar un
análisis casuístico de los requisitos de idoneidad, necesidad y proporcionalidad de la
44
medida. De acuerdo a la jurisprudencia del TC y los expedientes de la AEPD, la finalidad
de la medida está limitada a ser únicamente la de verificar el cumplimiento por el
trabajador de sus obligaciones y deberes laborales; debe informarse de la medida a los
trabajadores; y se entiende que el GPS solo puede estar operativo durante el horario
correspondiente a la jornada laboral, siendo posible la fácil desactivación por parte del
empleado.
Cuando la geolocalización afecta a los datos de un menor de edad, debe señalarse que
la legislación española ha establecido que el consentimiento se debe otorgar por los padres
o tutores en caso de que el menor sea una edad inferior a catorce años. En contraste, en el
resto de casos, el consentimiento solo podrá ser otorgado por el interesado (el menor)
salvo cuando una Ley establezca que estos deban completar su capacidad. Es importante
recordar que en ningún caso se podrá recabar de los menores datos sobre el resto de los
miembros de su unidad familiar.
QUINTA: Ante tratamientos indebidos o deficientes de los datos recogidos con
aplicaciones de geolocalización la responsabilidad recae sobre el responsable del
tratamiento. Dado que intercede una pluralidad de sujetos en la transmisión resulta
necesario indicar que de acuerdo a la LSSI la regla general que el responsable será el
autor o titular de la aplicación de geolocalización. Los fabricantes de los terminales
únicamente responderán cuando sean también autores o titulares (en virtud de una licencia
de explotación) de la aplicación en cuestión. El resto de los sujetos solo será responsable
en la medida que excedan sus funciones de intermediarios técnicos o confluyan en ellos
su posición de intermediario con la de titular de la aplicación. Recordamos que los
operadores de la red de telecomunicaciones por la que se transmiten los datos se
consideran meros intermediarios y solo responderán de originar ellos la transmisión,
alterar los datos (más allá de manipulaciones estrictamente técnicas) o seleccionar éstos
o a los destinatarios de dichos datos (y ninguna de estas situaciones acaece en el supuesto
de las aplicaciones de geolocalización); y los creadores de los sistemas operativos de los
dispositivos serán responsables en la medida que también sean autores de las aplicaciones
instaladas por defecto o hagan uso de los datos que manejan sus sistemas en base al uso
de aplicaciones de terceros para mejorar sus propios servicios de localización.
El primer paso del interesado que quiera controlar sus datos será el ejercicio de los
derechos de acceso, rectificación, cancelación y oposición ante el titular de la aplicación
45
de geolocalización. Un ejercicio infructuoso de estos derechos abriría luego la vía para
acudir a la tutela de la AEPD y los tribunales de justicia. Finalmente, se debe recordar la
existencia de un catálogo de infracciones y sanciones en la LOPD (que pueden alcanzar
hasta 600.000€), que de acontecer también pueden originar la existencia de una
obligación de indemnizar por daños y perjuicios al afectado.
46
RESEÑA BIBLIOGRÁFICA
ÁLVAREZ HERNANDO, J. alvarezabogado.blogspot.com.es. 2010 Consultado el 5 de
mayo de 2015. Disponible en
http://alvarezabogado.blogspot.com.es/2010/03/cuestiones-juridicas-acerca-de-
los.html
ÁLVAREZ-CIENFUEGOS SUÁREZ, J. M. Comentario a las sentencias del Tribunal
Constitucional 290/2000 y 292/2000, de 30 de noviembre, sobre la Ley de
Protección de Datos. La Ley. 2001
BAÓN RAMÍREZ, R. Visión general de la informática en el nuevo código Penal (Vol.
XI). Madrid: Cuadernos de Derecho judicial. 1996
BELLOVIN M. S., H. R. When enough is enough: location tracking, mosaic theory and
machine learning. New York University Journal of Law & Liberty , 8:555, 555-
628. 2014 Disponible en
http://static.squarespace.com/static/514e1ca0e4b04c6ad1834313/t/536c75d9e4b
0ffdd30e5a5ab/1399616985724/Hutchins.pdf
BOELLE, S. abogalista.com. 2010. Consultado el 5 de mayo de 2015. Disponible en
http://www.abogalista.com/recursos/temas/la-geolocalizacin-y-la-normativa-de-
proteccin-de-datos-lopd.html
DAVARA RODRÍGUEZ, M. (1998). Manual de protección de datos. Madrid: SEFP.
DAVARA RODRÍGUEZ, M. La protección de datos personales en el sector de las
comunicaciones electrónicas. Fundación Vodafone. 2003
DAVARA RODRÍGUEZ, M. Manual de Derecho Informático (10ª ed.). Cizur Menor,
Navarra, España: Aranzadi SA. 2008
Despacho Cremades & Calvo Sotelo. Estatuto jurídico de los servicios de
radiolocalización (GPS) a través de redes de telefonía móvil (GSM). Revista de
Contratación Electrónica, 6. 2002
FERNÁNDEZ GARCÍA, A. Sistemas de geolocalización como medio de control del
trabajador: un análisis jurisprudencial. Revista Doctrinal Aranzadi Socia (17).
2010
47
GUDÍN RODRÍGUEZ-MAGARIÑOS, F. Requiem por el derecho a la intimidad en los
smartphone: análisis de la última Jurisprudencia del TC contrastada con la del
TEDH. Revista Aranzadi Doctrinal (9). (2014)
GUERRERO PICÓ, M. d. C. El Impacto de Internet en el Derecho Fundamental a la
Protección de Datos de Carácter Personal. Cizur Menor: Aranzadi SA. 2006
KOSINSKIA, M., STILLWELLA, D., & GRAEPEL, T. http://www-psych.stanford.edu/.
2013 Consultado el 4 de mayo de 2015. Disponible en http://www-
psych.stanford.edu/~knutson/bad/kosinski13.pdf
LÓPEZ-LAPUENTE GUTIÉRREZ, L. La conservación de los datos por los operadores
de servicios de comunicaciones electrónicas. Análisis de la ley 25/2007, de 18 de
octubre, sobre conservación de datos relativos a las comunicaciones electrónicas
y a las redes públicas de comunicaciones. Actualidad Jurídica Uria Menédez (19)
2008, 76. Consultado el 25 de mayo de 2015, de
http://www.uria.com/documentos/publicaciones/1931/documento/articuloUM.pd
f?id=3164
ORTÍ VALLEJO, A. (1994). Derecho a la intimidad e informática. Granada: Comares.
PÉREZ LUÑO, A. E. (1979). La protección de la intimidad frente a la informática en la
Constitución Española de 1978, en REP, nº 24.
Informática y libertad. Comentario al artículo 18.4 de la Constitución.
REP, 44-45. 1989.
"Los derechos humanos en la sociedad tecnológica". Cuadernos y
debates del Centro de Estudios Constitucioanles (Nº 21), 138-139. 1989
STAPIANO, J. (2014). Money walks: a human-centric study on the economics of
personal mobile data. UbiComp '14 Proceedings of the 2014 ACM International
Joint Conference on Pervasive and Ubiquitous Computing, (págs. 583-594).
VIZCAÍNO CALDERÓN, M. Comentarios a la Ley Orgánica de protección de datos de
carácter personal. Madrid: Civitas. 2001